そんな中で起きた今回の事件については、逮捕された研究者の行動が果たして啓蒙のために善意の行為として行われたのかどうかを、きちんと検証する必要があるだろう。その行為が法的に不正アクセスかどうかという問題ではなく、その目的が重要だ。そもそも、最大の犯罪はきちんと脆弱性を防ぐシステムの維持管理ができていなかったことにある。維持管理を怠ったところが本来は罰せられるべきではないのか。

極めて正論であり、限られた紙面からも言葉を選んで発言されていることが伝わってくる。

「本来は罰せられるべき」とはACCS側であるが、脆弱性があるサイトは次の３つに分類できると思う。
　A．脆弱性を知り得る能力を持たないまま運用していた
　B．脆弱性を知り得る能力が有りながら、優先度を低く見ていて検証が後回しになっていた
　C．脆弱性を知りながら、優先度を低く見ていて対応が後回しになっていた

Aは無免許運転のようなものだ。安く開発できることから検証もしないで運用する、利用者は素人が操縦する飛行機に乗ってしまったようなものだ。実は最も多いパターンではないか。

Bは、経営側にも問題がある。情報資産の重要性が認識できていない、会社として情報を預かるに値しないであろう。確信犯ではあるが、必ずしも開発等のシステム部門だけを責められるものではない。

Cは、確信犯である。今回のタイプがこれにあたる。
http://slashdot.jp/comments.pl?sid=133390&cid=435775
この情報の信憑性も問うべきであるが、CGIを提供する側としては、単に入れ替えるだけで済む
CGIを提供先に周知するのは、最優先であり、また工数も要さないはず。

次に、行為の正当性の検証、まずこれがあって然るべきである。
武藤氏は文面で「上場企業約3300社のウェブサイトを片っ端から調べたのである。」と述べているが、「片っ端から」という言葉から想像するに、3,300社から１つ１つ合意を得ていたとは考えにくい。

不幸なことに、彼の体制を恐れず悪役を演じずるように見えるスタイルが、行為の正当性に不利な主観をもたらしている。では真っ当にやるには……彼はofficeという人物を演じたスタイルを選択し、企業の利害関係や政府から自由な立場を得て指摘を行っていた。

高木浩光氏のような、独立行政法人に属しながら制約のない自由な指摘を行える人が稀なように、彼は自分が自由に意見を言える立場としてofficeという匿名な男を演じていた。

これが裏目に出ている。廃刊状態のかつてのセキュリティマガジンの連載も読者の目を引くようなスタイルをとっているが、検証していただきたい。指摘した側と指摘された側、どちらがマトモであるかを。隠蔽しようとした会社がマトモと言えるかを。