解答に「C&CサーバのIPアドレスが取得できない」とありますが、理由を教えて下さい。
問題冊子 P.14の箇条書き下から2つ目に「内部DNSサーバは、内部LANのゾーン情報を管理し、当該ゾーンに存在しないホストの名前解決要求は、外部DNSサーバに転送する」とあるので、マルウェアがC&CサーバのFQDNを内部DNSサーバに名前解決要求した後、外部DNSサーバ経由で名前解決されるのではないかと思ったのですが、そうはならない理由を知りたいです。
よろしくお願いいたします。

マルウェアは内部のDNSサーバを知らないため、直で外に通信しようとして
FWに弾かれるためだと思います。

外部DNSサーバは、

DNSサーバ1(コンテンツサーバ)：外部DNSサーバと同じIPアドレス
DNSサーバ2(フルリゾルバサーバ)：新たに付与

に分けられています。

コンテンツサーバは、自社ドメインの要求にしか応答しないので、
C＆Cサーバの名前解決は、DNSサーバ2を利用するしかありません。


しかし、

P18
「インターネット上のホストの名前解決は、FPサーバ、メール中継サーバからの要求に対応できればよい」

とあるため、内部DNSサーバからDNSサーバ2に転送する運用はないと思います。

また、表2に許可するポリシーが追加されていないように見受けられるので、
内部DNSサーバからDNSサーバ2への名前解決要求は、FWで遮断されます。

hisashiさん、サスケさん
ご回答ありがとうございます！

問題文の途中で外部DNSサーバが2つの役割に分けられ、PCがフルリゾルバとしての機能を利用するにはプロキシを経由しないとダメということで理解できました。