(2) 攻撃者がML3の活動を隠蔽するためにログの改ざんを試みた機器はどれか。マルウェアの特徴とJ社のネットワーク環境を基に答えよ。

回答:FW

(2) ~また、本文中の下線①について、どのような内容のログか。25字以内で具体的に述べよ。

公式回答例:PCから攻撃者のサーバへのHTTP通信のログ(22文字)
管理人回答:感染PCから攻撃者のサーバへの拒否された通信ログ(24文字)

解説

この問題の肝は、ML3の通信がFWに拒否されていることに気づけるかどうかです。

「表2 マルウェアの解析結果の概要」から読み取れるのは
ML3はプロキシサーバを利用せず、直接攻撃者のサーバに通信を試みます。
「図1 J社のネットワーク構成」から読み取れるのは
その通信は、FWを経由してインターネットに抜けようとします。
「表1 FWのフィルタリングルール」から読み取れるのは
FWのフィルタリングルールには、送信先「PC」、宛先「インターネット」のルールがないため項番10で通信が拒否されます。

問題文から、ここまで気づく事ができれば、攻撃者が改ざんしようとしたログはFWだと分かります。
後は作文の時間です。
管理人の作文過程は以下の通り。
  • ML3に感染したPCから攻撃者のサーバへのFWが拒否したHTTP通信ログ(36文字)
  • 感染PCから攻撃者のサーバへのFWが拒否したHTTP通信ログ(30文字)
  • 感染PCから攻撃者のサーバへの拒否された通信ログ(24文字)

「拒否」をどうしても残したくて「HTTP」を削ってしまったのは失敗だった気がします。
どうにか作文のフィーリングをIPA公式回答に近づけたいですね。