米商務省が6月に公表した報告書(PDF文書)から、同省の経済開発局(EDA)が実体のないマルウエア感染の対策に300万ドル近くを浪費したことが分かったと、複数の米メディアが現地時間2013年7月9日に報じた。

 報告書によると、商務省のIT緊急対策チームは2011年12月、EDAと米海洋大気庁(NOAA)に対し、両組織の施設内ネットワークに不正侵入を検出したと警告した。実際の脅威は小規模なもので、NOAAは数週間でマルウエア除去を完了した。

 しかしEDAは、広範な攻撃に直面していると誤解し、新たに省内の4組織と外部のセキュリティ契約事業者も加えて総動員体勢を組み、EDAの電子メールネットワークを完全に遮断した。セキュリティ事業者は数台のシステムでマルウエア感染を確認したが、重大な脅威ではないため簡単な修復で解決できると判断した。ところがEDAの最高情報責任者(CIO)は100%の安全を確保するには物理的にすべての技術器機を壊すことだと決断した。

 そこで約1年かけて、マルウエアの影響を受けていないシステムも含め、17万500ドル相当のコンピュータ、プリンター、キーボード、マウス、カメラ、テレビなどを廃棄した。EDAは不正侵入を調査したセキュリティ契約事業者に82万3000ドル、廃棄作業に4300ドル、インフラの借用に106万1000ドル、長期的対策支援の契約事業者に68万8000ドルを支払った。処分された17万500ドルと合わせると270万ドル超となり、これはEDAの2012年IT予算の半分以上の金額だという。