解答がディスクイメージとなっていますが
メモリダンプではなぜダメなのでしょうか
マルウェアの挙動を知るにはディスクの情報よりも揮発性のメモリの情報を取得したほうがいいと思ったのですが
教えてくださいお願いします。

ログイン試行：12月6日11時から13時
事象が発覚：12月9日月曜日の週次アクセスログ調査にて
です。

12月9日が月曜日であることから、12月6日は金曜日です。
ここから推測できることは、
・対象は一般ユーザーが使用するPC-Gなので毎日起動・停止している
・本日は12月9日なのですでに3日経過しており、その間起動・停止が発生して
  いると想定される
・すでにログイン試行時のメモリの状態は消えている
です。

そのため、この段階でデジタルフォレンジックとしてはディスクイメージの取得が
一番情報を適切に取得できるというのが解答になります。

pixさんありがとうございます
ログイン試行から発覚までの間でシャットダウンが行われているだろうという
想定ができていませんでした。
ちなみに
試行から発覚までがすぐの場合はメモリダンプなのでしょうか
条件とかあるのでしょうか

>試行から発覚までがすぐの場合はメモリダンプなのでしょうか
>条件とかあるのでしょうか
過去に何回か同様の質問がありました。
結論としては、データフォレンジック対応は一意ではないということです。

よくある誤解ととしてデータフォレンジックは対応が決まっていると
思い込んでしまうものです。しかし、これは誤りです。
データフォレンジックの手順は想像以上に複雑な条件と手順があるということです。

対象が
・サーバ（可用性が優先される場合が多い）
・PC（情報流出の阻止が優先される場合が多い）
でも対応が変わりますし、
優先事項が
・被害の拡大防止優先
・マルウェアの解析優先
・サービス継続（可用性）優先
によっても対応が変わります。
これらの事項を加味した結果、どのように対応するかは個々の場合によって
ことなります。

また、IPAの試験でも個々のケースに対して最適なデータフォレンジックを
提案することが設問として出題されます。
今回の設問がまさにそれです。
過去数度、データフォレンジックの設問が出題されましたが、設問ごとに
対応が異なっておりました。

結論としては、
・データフォレンジック対応は想像以上に細かく、同一のケースであることの
  ほうが少ない
という認識をもつのがよろしいかと思います。