ACCS裁判での有罪判決は、セキュリティ活動を重視する立場からの批判を良く聞きますが、判決文では、セキュリティ活動として妥当なものであっても犯罪になるとは言っていないはずです。
妥当であれば適法とも言ってはいませんが。

判決は検察側の主張を支持。元研究員が脆弱性を見つけてから3カ月間、管理者に報告せず放置したことや、「公表するとどうなるかすごく楽しみ」「前触れなく攻撃してみたい」などと発言したことに言及し、「真摯な指摘活動とはいえない」と指弾。「たとえセキュリティ対策を促すためとしても、管理者側に修正の機会を与えないまま発表して模倣犯の出現を促し、個人情報を漏えいした行為は正当視できない。高度情報通信社会の発展を妨げることは明らか」とした。
「不正アクセス」の司法判断とは――ACCS裁判 - ITmedia ニュース [itmedia.co.jp]、2005年03月28日

判決の指摘に沿うならば、直ちに管理者に報告し、管理者側に修正の機会を与え、模倣犯が出ないようにし、情報漏洩がなければ（かつ、当然にその他の不適当な点がなければ）、真摯な指摘活動として正当視できる余地がありうるように思います。