私はレジスタなどの揮発性の高い情報を早急に保存すべきと考え、"電源停止前の情報"と回答しました。
IPAの回答は"ディスクイメージ"でした。
この問題からディスクイメージという回答をどうしたら導けるのでしょうか？
また、なぜディスクイメージなのでしょうか。
レジスタやキャッシュ情報を保存すべきではないですか？

>むずかしいさん
おそらくで回答します。
マルウェア感染時とその発覚時では日数が離れており、マルウェア実行日はシャットダウンもされているため、情報が残っておらずメモリダンプを取得しても調査では役に立たないからではないでしょうか。
※時系列的にはマルウェアの特徴が分かっていないためメモリダンプを取得するべきだと思いますが、そこは問題文を読んだうえでの回答なのかもしれません。

これは質問とは関係ないですが、電源停止前の情報だと△か最悪×かもしれないので、メモリダンプという言葉を使ったほうがいいかもしれません。

早速のご回答ありがとうございます。
＞マルウェア実行日はシャットダウンもされているため、情報が残っておらずメモリダンプを取得しても調査では役に立たないからではないでしょうか。

確かにおっしゃる通りですね。理解できました。

自分が建てたスレでなく横入りして申し訳ないです。
既に解決していると思いますが、私も本設問に関して思う所があった次第です。

というのもNo2さんのご説明で納得はしましたが
仮にウィルスの感染とその発覚に関して、時間的に大きな差異が無かった場合
優先的に取得するのはメモリダンプorディスクイメージどっちなんだろうなと思いました
個人的にはディスクイメージ内にメモリの情報が含まれているので、後者なのではないかとは思いましたが...

https://www.sc-siken.com/s/kakomon/29_aki/am2_16.html

上記午前問題が参考になるかと存じます。

以下2つの設問はデータフォレンジックスについての問題ですが、
解答がまったく異なります。
・令和3年秋  午後1 問3 設問1 (2)
https://www.sc-siken.com/pdf/03_aki/pm1_3.pdf
解答：「ディスクイメージ」
・令和元年秋 午後1 問3 設問1 (1)
https://www.sc-siken.com/pdf/01_aki/pm1_3.pdf
解答：「メモリ上の情報が失われないようにするため」

それぞれの状況は以下です。
・令和3年秋  午後1 問3 設問1 (2)
問題が発生してから3日過ぎている
その間にPCはシャットダウンされている
・令和元年秋 午後1 問3 設問1 (1)
実際に問題が発生したのではなく、事前のインシデント対応の手順に
ついての検討

以上から、IPAは常に状況に応じた解答を求めていると考えれます。

返信遅くなりました。

＞常に状況に応じた
確かに、自分はこの意識が薄かったのだと思います
返信くださったお二人ありがとうございます。