「グローバルIPアドレスMへのHTTP通信成功のログ」とありますが、「HTTP通信またはHTTPS通信成功のログでないのはなぜなのでしょうか？
マルウェアRが外部への情報持ち出しに際して、HTTPS通信をする可能性は考えられないのでしょうか？
HTTPSを除外して、HTTP通信成功のログ…と答えられる根拠を問題文中から探してみましたが、図2の（う）「C&C通信には、HTTP又はDNSプロトコルを使用する」といった情報くらいしか見当たりませんでした。
これ（図2）については、攻撃グループの”過去の”活動内容を示したものであって、今回、はじめてHTTPS通信が行われたかも…と考える必要はないのでしょうか？

冒頭に関して言葉足らずだったので補足です。
公式解答は「グローバルIPアドレスMへのHTTP通信成功のログ」となっていますが、
「グローバルIPアドレスMへのHTTP/HTTPS通信成功ログ（29字）」でないのはなぜなのでしょうか？
ということです。
「グローバルIPアドレスMへのHTTP『S』通信成功のログ」と書いたらバツということですよね。

HTTP通信と回答すべきです。記載内容を基に正確に回答すれば正解もらえます。

本問から多少はずれますが、実際に同様のことが現実で発生した場合の
対処を踏まえてお話します。

・HTTPとDNS通信を調査する
実績ある「閉じた」情報なので、調査範囲として明確です。
本問の解答と一致します。

・HTTPS通信も調査する
本スレッドの質問に該当します。
提供された情報を過去のものとみなし、可能性として調査するというのは
実際の業務でもあります。
しかし、これは未知の「開いた」情報です。
HTTPS通信を追加で調査するのであれば、Z社の場合、PCから外部へデータが
でていく可能性のあるPOPとSMTPもすべて調査しないといけません。
もし解答するのであれば、HTTPSを追加しただけでは不完全となります。
POPとSMTPも追加しないと完全な解答にはならないでしょう。

お二方、回答をありがとうございます。

pixさん、「開いた」「閉じた」とは、どういうことでしょうか？
お恥ずかしながら、ご教示頂けますと幸いです。

>pixさん、「開いた」「閉じた」とは、どういうことでしょうか？
>お恥ずかしながら、ご教示頂けますと幸いです。

以下のような意味で言葉を使用しています。
「閉じた」：すでに確定している。これ以上変化の可能性がない情報。
「開いた」：まだ未知の要素がある。変化する可能性がある情報。

今回の趣旨としてはISACからの閉じた情報を基に現状を調査する
ことが一番の趣旨であると問題文から判断しました。

実際の業務でもまずは情報の速さを重視して、現状確認のため
閉じた情報での調査を優先すべきケースは多々あります。
セキュリティ情報発生時に、関係者はいち早く現状の状態を知りたがる
傾向があるからです。

その次の段階で「開いた」情報として、未知のケースとして
HTTPS・POP・SMTPの調査、併せてそれ以外に可能性として考えられる
プロトコルの調査を手広く行えばよいかと思います。
未知の情報の確認には多くの時間がかかるので、調査の手法としては
このような順番になると考えます。