朝も書いたけど、ウィルスがアップロードしたとして、そのあとにパズル型認証やらせて失敗したらアップロードしたファイル無効化でも要件満たせるよな?

もちろん解ってる。パズル型認証するならログイン時の方がよいことは。でも、この仕様なら手間がかかる承認処理が無くても対応できるだろうし、ログでパズル型認証の失敗を監視してればウィルスの存在にも気づくだろう。

これはアレかな。承認処理入れたけど、実運用に耐えられないから改善策として出てくる第三の手かな。