令和3年秋午後2問2についての2つの質問です。

それぞれのマルウェアにはIPアドレスとFQDNのリストが含まれているとのことですがなぜIPアドレスとFQDNの両方を攻撃者は含んだのでしょうか。

2つ目の質問は本文中の②で起きたトラブルを解決した際に図8のタイムラインに攻撃者がインターネットからBサービス不正ログインしたと書いてあり、Bサービスのアクセス制御機能をオフにしたと考えました。しかし、アクセス制御機能に拠点VPNサーバのIPアドレスを許可するほうがセキュリティ的に良いと思います。なぜわざわざリスクの大きいアクセス制御機能をオフにする対応をとったのでしょうか。

どちらも問題とは直接関係がないですがとても気になります。
完璧な答えはないので皆さんの意見をぜひ教えてください。

>それぞれのマルウェアにはIPアドレスとFQDNのリストが含まれているとのことですが
>なぜIPアドレスとFQDNの両方を攻撃者は含んだのでしょうか。
2つ理由が考えられます。
1.ブラックリスト登録への対応
IPアドレスだけだと、UTMのブラックリストに簡単に登録されてしまいます。
本問でもFQDNを利用することによって、DNS側で頻繁にIPアドレスを変更する
ことにより、ブラックリストへの対抗としています。

2.かき集めたC&Cサーバ
攻撃者はC&Cサーバを色々な方法でかき集めてきます。それぞれがIPアドレスの
ものもあれば、FQDNのものもあると考えられます。
世の中にはC&Cサーバをレンタルするという悪いサービスもあるとの噂です。

>なぜわざわざリスクの大きいアクセス制御機能をオフにする対応をとったのでしょうか。
これについては、結果論です。
問題切り分けのために、アクセス制御をオフにしてそのままだったと思われます。
インシデントが起きたため、アクセス制御オフが脆弱性として認知されました。
しかし、インシデントが起きなければ発覚しませんでした。
実際の業務でもそうですが、実際に設定したときの当事者と、インシデントが発生した
ときの第三者の認識の大きさの違いは一旦抑えて考えるべきです。

また、本問の出題構成の流れの必然性として、アクセス制御オフがインシデント発生の
ために必要というのもあります。

pixさんご解答ありがとうございました。
もやもやが取れてすっきりした感じで、とても気持ちが良いです。

ご自身で考えて理由や原因をリストアップして「これで間違いないか？」と提示するべきかと思います。
考える能力を伸ばす良い機会ですから、先に答えを教えてもらってはトレーニングになりません。

午後試験も用意された正解を当てる設問がほとんどですが、少数ながら考える能力を評価する設問もあります。