サイバー攻撃の脅威とトップリスクマネジメント

　2008年～2010年にプロバイダが不正アクセスを受けた件数は5315件であり、不正アクセス全体（6969件）の76.3％を占める。プロバイダから盗み取られた「ID＋パスワード」のリストが、企業サイトを狙った「連続自動入力プログラムによる不正ログイン攻撃」にも用いられ、企業サイト内において、その従業員が有するアクセス権限で入手できる各種情報を盗み取る行為へとつながることは想像に難くない。

　企業を狙ったサイバー攻撃は、2013年、2014年と更に激しさを増しながら、企業規模にかかわりなく全企業を巻き込んで、拡大し猛威を振るっている。最近の2つのサイバー攻撃事例について、企業経営者のリスクマネジメントの観点から見てみよう。

楽天市場での「ID＋パスワード」リストを悪用した攻撃

　2013年12月、岐阜県警と兵庫県警は、インターネット通販サイト「楽天市場」に他人のIDでアクセスし、ポイントを無断で電子マネーに換金していた中国人の大学生2人を不正アクセス禁止法違反容疑などで逮捕した。2人は「サイトで知り合った中国人から約6万5000円でパスワードなどを買った」と容疑を認めている。

　この事件の被害状況は、楽天市場のポイント「楽天スーパーポイント」が電子マネーに移行されたというものである（図1）。ポイントとは、発行主体の商品・サービスの販売促進ツールとして提供されるもので、発行主体の企業が債務履行原資を負担する将来の値引きや景品付与を行う債務と整理されている（経済産業省商務流通グループの企業ポイント研究会による）。ポイントそのものには流通性はなく、有効期限や利用方法があらかじめ定められていることから、それ自体として経済的価値を持つとまでは言えない。

図1●「楽天市場」での不正アクセスによるポイント窃取事件の当事者関係と損害賠償請求権

[画像のクリックで拡大表示]