https://www.ap-siken.com/kakomon/27_haru/pm01.html
設問5の答えについて、模範解答は「不審なメールの削除」でしたが、
私は「PCを社内LANから切り離す」と書きました。

問題文中に「社内LAN」という言葉が出てきていなかったり、そもそも模範解答と随分離れた回答であったりと自分の答えが間違いであろうことは分かるのですが、
切り離さなければウイルスに感染していた場合感染が拡大してしまうのでは、と思ってしまいます。

実際にこのような標的型攻撃を受けたとき、社内LANから切り離すことはしないのでしょうか。
また、逆にLANから切り離すのはどういう場合なのでしょうか。

ネットワークから切り離すのはその端末がウイルスに感染しているとわかった時ですね。例えばスパムメールが届いたというだけで該当する端末全てを切り離すのはやりすぎだと思いませんか？

下線３以降に「その後，受信者が添付ファイルを開けていないことやURLをクリックしていないことなどを管理者が確認します。」とあるのでここでやらかした人がいればLANの切り離しになるかと。
なので設問の下線３時点ではまず不審なメールを消してもらうと。

>実際にこのような標的型攻撃を受けたとき、社内LANから切り離すことはしないのでしょうか。
詐欺師から手紙が来て、見抜けるやつがいちいち9110に電話しないのと一緒です。
ちなみに海外から1ポンド17ペンスもかけて国際郵便で詐欺レターが弁護士事務所に来た事例を見たことがあります  世界は広いですね

chihiroさま
sodeさま
Ginsanaさま

みなさん、ご回答ありがとうございます！
スパムメールや手紙で例えてくださって、届いただけでネットワークから切り離すのは確かにやりすぎだなと分かりました。
感染が分かって初めて隔離するということですね！

とても勉強になります。いつもありがとうございます！