《原文注釋》：「微隙在所必乘；微利在所必得。少陰，少陽。」

《原文解析》：

(1)微隙在所必乘；微利在所必得：微小的漏洞必須利用，微小的利益，也必須獲得。
(2)少陰，少陽：指敵方小的疏漏，就是我方小的得利。

《出處》：

以右手牽馬、羊，方便進獻。比喻方便行事，毫不費力。語本《禮記．曲禮上》。後用「順手牽羊」比喻乘機順便取走他人財物。這裡，順手牽羊的「羊」指防守有間隙、有薄弱環節的地區。在不影響進攻主要目標、完成主要任務的前提下，利用時機，出動小股部隊，神出鬼沒發動攻擊以獲得意外的、原先沒有料到的戰果，就叫「順手牽羊」。

春秋時，晉獻公途徑虞國滅掉虢國，回師虞國時又乘其不備，滅掉了虞國；秦穆公攻打鄭國，兵至滑國時，知鄭人已有戒備，滅鄭沒有希望，就順手滅掉滑國，然後班師回秦，都是典型的例子。

《資安戰運用實例》：

由資安機構 CheckPoint 揭露，被稱為「順手牽羊行動 Operation Sheep」的活動，由一個看似為科技公司 Hangzhou Shun Wang Technologies 作主導。實際該公司為一個網絡平台，將其打造的 SWAnalytics SDK，嵌入 12 款 Android apps 內。該 SWAnalytics 會不經用戶的同意下，偷偷地把手機上的通計錄上傳到該公司的伺服器上，預計總下載量已逾 1.11 億次，估計該公司至少已搜集中國三分一的人口姓名及電話號碼。

Check Point 預計這些通訊錄可能被用來作傳銷、目標詐驗，或者應用於一些友人推薦的計劃內。不過，SWAnalytics 不會搜集 Android 6.0 或以前用戶的通訊錄，而且會放過美圖手機的用戶，原因未明。

【12 款竊取用家通訊錄名單 Android Apps】

《來電閃光燈（Incoming Call Flashlight）》
《測速大師（Network Speed Master）》
《電池醫生（Battery Doctor）》
《Wi-Fi 密碼神器（Wi-Fi Password Key）》
《Wi-Fi 信號增強器（Wi-Fi Signal Amplifier）》
《氧秀直播（Syoo Video）》
《充電加速器（Super Battery Charge）》
《快樂捕魚（Happy Fishing）》
《快樂捕魚（Happy Fishing）》
《快樂電玩捕魚（Happy Fishing）》
《91Y 直播》
《91Y 遊戲》

Check Point 建議如已安裝以上 12 款的 Android Apps 的用戶，盡快移除，雖然受影響的用戶的通錄訊已被搜集，但該 SWAnalytics 是當用戶開啟相關 apps 或重新啟動手機時，便會悄悄搜集手機上的通訊錄資料，若用戶時不時會有新的通訊錄更新，還是刪除為妙。幸運的是，受影響的 Android Apps 未於 Google Play 上發現，主要出現於中國程式市集，如：華為應用程式市集、小米應用商店、360 手機助手、百度手機助手等。

《企業實務上，筆者觀點》

企業裡面，有很多順手牽羊的行為，例如去年一月分，有位女會計因為利用職務之便，將應該付給廠商的貨款，轉手買了800多個名牌包，犯案期間至少三年以上。之後，又發生另一件鴻海子公司一位女的人資，利用職務之便，偽造薪資明細，不僅每月幫自己和男友加薪，就連後續轉調到同集團的男友，還能利用職務之便，繼續領原公司的薪水，犯案期間至少兩年以上。

在我國刑法裡面，第339-3條，也稱為「電腦詐欺罪」，該條文如下：

筆者一樣用刑法犯罪三階層理論分析：

1.構成要件：分主觀與客觀

(A)客觀構成要件：施用類似詐欺的手法操縱電腦的手法，影響資訊處理的流程，並造成財產的損失。
(B)主觀構成要件：意圖為自己或第三人不法之所有。主觀的意思就是指「不法之意圖」，法律上對於意圖的定義，非常特殊，筆者上課時聽到一個案例時，也是非常迷惑，但是邏輯上並沒有錯，以下引用一個範例說明。

我要倒垃圾， 出門時才發現外面正下雨，懶惰的我懶得回20樓的家拿雨傘，就直接拿一樓鄰居的傘出門丟垃圾後，再把雨傘放回原處。我有竊取鄰居雨傘的故意，但是我沒有不法占為己有的意圖，因為雨傘很醜我才不想要，就不符合竊盜罪的要件，不成立犯罪。我沒有「偷」、只有「借」。這樣的行為可能很不道德，但是刑法認為這個小事不太需要用國家權力處罰，所以不構成犯罪。

2. 違法性：是否阻卻違法的事實？
   此處，在法條上解釋上，就是要以「不正的方法」將虛偽資料或不正指令輸入電腦或其相關設備。

但是，注意看本篇文章前面所說的，會計買名牌包及人資轉假薪資兩個案例，都是正常使用電腦，甚至給予合法的權限，他才能有後續的執行虛偽資料或不正指令，那麼這個電腦詐欺罪的犯罪事實，可能就阻卻了違法事實，此部分就是會阻卻掉了違法，已經產生矛盾了，這也是立法者必須思考的地方。

3. 罪責：七年以上有期徒刑，得併科七十萬元以下罰金。

有關於上述的分析，法律上的解釋，大致是這樣，然而，在內部管理上，如果是金錢上的損失，尚還有得救，假如是重大無形資產，例如商譽、營業機密，那麼就得要更深入思考，流程上是否有欠缺之處，只要有小縫隙，不要說是駭客，公司內部執行人，只要有所意圖，就會馬上會造成損失，因此，制定流程上，申請、覆核、核准都必須要確實執行，理論上，造成損失應該都有責任要負責，如何避免這些問題。

以下為建議方式：

1.	核決權限表及罰則都要很明確。
2.	ERP內要詳細設定卡控
3.	確實的落實，並且按時稽核。

總結：
(A)攻方：利用疏忽、縫隙進攻。
(B)守方：流程上卡控及獎懲要落實。