平成30年午後Ⅰ問3 設問2の模範解答について、分からないところがありご質問させていただきます。

ファイル転送サーバがマルウェアに感染した際、研究開発PCに感染が拡大する可能性が低い理由は何かという問題で、模範解答は下記の通りでした。

「ファイル転送サーバから研究開発PCへの通信はFW2で禁止されているから」

確かにFW2の設定は上記の通りですが、研究開発PCからファイル転送サーバへの通信は許可されています。
このFW2はステートフルパケットインスペクション型とあり、許可された通信の戻り通信は許可されるという認識です。
私はこれが「ファイル転送サーバから研究開発PCへの通信」に当たると考えたのですが、その時にマルウェアの感染が拡大する可能性は低いのでしょうか？
（つまり、マルウェア感染はマルウェアが自発的に接続しないと起こらないのでしょうか？）

私は問題文に該当マルウェアが「HTTP通信を悪用」すると書いてあったので、
「研究開発PCとファイル転送サーバ間のHTTP通信はFW2で拒否されるから」
と回答しました。
（この通信はHTTPではなくFTPなのかな？と考えたので）

恐らく色々間違っていると思うのですが、どこが間違っているか分からず、どなたか教えていただけますと有難いです。よろしくお願いいたします！

>（つまり、マルウェア感染はマルウェアが自発的に接続しないと起こらないので
>しょうか？）
はい。本問でいうマルウェアとは「マルウェア自身が自ら通信して感染を拡大する」と
いうものです。通信の開始はマルウェアになります。

問題文に該当マルウェアが「HTTP通信を悪用」すると書いてあるのであれば、
該当マルウェアがHTTPのGETやPUTができることが条件になると考えられます。

>このFW2はステートフルパケットインスペクション型とあり、許可された通信の
>戻り通信は許可されるという認識です。
>私はこれが「ファイル転送サーバから研究開発PCへの通信」に当たると考えたの
>ですが、その時にマルウェアの感染が拡大する可能性は低いのでしょうか？
疑問に思うのであれば、その通信のパケットとプロトコルがなにかをイメージ
してみるとよいです。
既に、研究開発PC->ファイル転送サーバ間で開かれたTCPコネクションに対して
マルウェアがどうやったら割り込めるかを考えてみてください。
それによって、ネットワークレイヤ以下のプロセスやOSのデータ分離について
認識が広がると思われます。

仮に、戻りのパケットに能動的にマルウェアがどうこうするとして、瞬時にFWでテンポラリとして書かれたACL（セッションログ。今回の通信の接続要求に対する応答、それに付随するコネクションなどの通信を許可する一時的なルール）をマルウェアが把握した上でやらないと弾かれますよね。少なくとも、IPアドレス、ポート番号、シーケンス番号、ACKを合わせないとなりません

pixさま
GinSanaさま

ご回答いただきありがとうございます！
とても分かりやすく納得いたしました。

お2人に教えていただいた点、全然イメージできていませんでした。
リクエストやレスポンスの中身をあまり理解していないので、勉強します。
ありがとうございました！