そういうのは真面目に許可を取ってから言えば良いだけで、何もせずに言うのは単なる過剰反応でしょ？
全く根拠無い事言われてもねぇ･･･。

＃まあ、この手のコメント自体が自分が気に食わないと過剰反応する事もあるって例かもしれないけど、
＃裁判ってノリで騒ぐのに比べて手間隙も掛かればリスクもあるんですが。

ってか、許可を求められて訴えるのは相当なサイコな管理者だろうけど、世の中にそんなにいるとは思わない。
問い合わせに返答が無いからってアタックするサイコなセキュリティ専門家が多分そんなにいないであろうってのと同様なレベルで。

普通の管理であれば、「脆弱性がある疑いがあるのでテストする」って言われたら、

・断りのメールを書く。
・内部で試験する。
・問題対処後、必要ならコメントを出す。

ってのが普通ではないですか？

通常の企業なら、試験の為とはいえ知らない外部の人間に自由にアクセスさせるってオプションは無いでしょう。
面倒くさがりの管理者なら、返答は端折るかもしれません。

またメール自体の信憑性が無ければ「無視する」ってのも普通のパターンでしょう。
その手のSPAMやフィッシング詐欺メールもありますから。

でも、過剰反応ってのは、普通はまず無い。
しても通常は何も得をしないし、訴えるとなると管理者の権限だけでは出来ないですし。
普通は法務部なり中小ではそれこそ社長の裁可を仰がないと出来ないでしょうから、よっぽど嫌われないと訴えられる事自体が難しいのではないかと。
大体、実際に被害も発生していない状況で個人を訴えても、絶対に元なんか取れないですからね。

というか、それが「犯罪」ってのが司法の判断だと思って良いかと。

んでもって、私はそれはそれで良いと思いますよ。

明確な許諾も無く自分の思い込みだけで実害を発生しかねない行動を取る者なんかは、はっきり言って信用出来ませんから。
自称でセキュリティ研究家と言われても、その内容は一切わからないし、何よりも人間として信頼に値するかどうか？って業務上一番大切なところで既に信用を無くすような行動（許諾無しのアタック）を起こす位ですから。
どのみちその様な人間を信頼する事なんて無理。
特に責任の一端でも自分で担っているのであれば尚更でしょう。

ですから、一般論として
「外部の人間に試験を容認することは無い」
と考えて良いと思う。
そして無視された時は、それは容認ではなく拒絶と考えるべきでしょう。普通は。

で、拒絶されていたのに勝手にアタックして訴えられたってなれば、それはほとんど自業自得ってものではないかと。

挙句、内部のデータを持ち出して外部で公開したりなんかした日には･･･。
って考えるとACCSがOffice氏を訴えたって事に対しては特に疑問は沸かないですね。

＃別にACCSはスバラシーとか言っている訳ではないんで。