令和6 秋 問1 設問7

私の回答「すべてのL社内ホストに対し、Fツールの出力ファイルからi.ps1の作成や実行がされていないか確認する」

解答例「全てのL社内ホストを対象に、タスク名installのタスクが登録されていないか調査する」

私の認識ですと、L社内のホストは4つに大別されます。

①i.ps1が作成実行され、installという名のタスク(攻撃性あり)の登録・実行されたPC

②i.ps1が作成実行されたが、installという名のタスク(攻撃性のないタスク。従業員が登録した正常なタスク)がすでに登録されてあったため、攻撃用のinstallという名前のタスクが登録されなかったpc

③i.ps1が作成実行されていないが、従業員によってinstallという名の正常なタスクが登録されているpc(ほぼないと思うが)

④i.ps1が作成実行されておらず、installという名のタスクも登録されていないpc


模範回答ですと、①と②だけでなく、③のPCまでカバーしてしまい手間が増えますよね？
もちろん模範解答の通りに調査しても特に問題ないとは思いますが、
i.ps1が作成実行されているか否かを調査すれば、マルウェア感染したpcのみ(①②のみ)を炙り出せるため効率的であると思いました。私の回答ですと不正解でしょうか？