設問1の②についてですが、模範解答ではなぜHTTPと限定されているのでしょうか。
わざわざサービスを書かなくても良い気がしますが。

P.16 中央付近「攻撃者のWebサーバのものと思われるURLにファイルをアップロード
していたPCがあったことがわかった。」
という記述から、マルウェアαはファイルのアップロードにHTTPを利用すると
想定されます。

またファイルのアップロードのプロトコルをHTTPに限定しておかないと、
誤検知が発生する可能性があります。
例えば通常運用でファイルサーバにCIFSでアップロードした場合を、
誤検知するようなケースも考えられます。

ご回答ありがとう御座います。
webサーバにアップロードされる場合、サービスはHTTPという認識で良いのでしょうか？

>webサーバにアップロードされる場合、サービスはHTTPという認識で
>良いのでしょうか？
はい。よほどのことがない限りHTTPでよいです。

もしHTTP以外であったら、その時に修正すればよいです。
セキュリティ設定の重要なこととして、つねにPDCAサイクルを回すようにし、
ギャップあれば次のサイクルでフィットするようにチューニングしてゆきます。

ご回答ありがとう御座いました！