＞CGIを書き換えたのではなく、formのページをローカルに保存し、hiddenタグを書き換えて問題のCGIに食わせたという

その通りです。ACTION=GET でURLアドレスを一発で見れてしまう可能性がありました。（office氏はGETでも可能だったかもしれないと言っていました。実証がしなかったようです。）ACTION=POSTですと、いったんローカルに落とすことは脆弱性指摘方法としてよく使われます。わかりやすいから。でも、ローカルに保存しなくとも、（例えばIEなどのブラウザだけで）アドレスバーにいろいろ複数回にわけて入力すれば、同じことが出来ます。

アドレスバーに何かいれるだけで逝っちゃうCGIっというのはやっぱりだめでしょう。

さて、不正アクセスかどうかは、上の論議とは異なる様相を示します。まず第一に、RFCの意味で正規なアドレスを入力しているか。正しいスキームで入力しているか。そのアドレスにはパスワード文字列が含まれているかいないか。などを検討すべきでしょう。

今回はサーバへのアクセスでしたが、ブラウザに対して巧妙にURLアドレスを組み立てられたものをユーザが踏むような受動的攻撃だった場合、不正アクセス禁止法に触れるのかどうかも、考えていく必要があります。

現行の法制度では刑事法という範疇では、善意であろうと悪意であろうと、恣意的な行動は示せても、不正アクセスという論証では、法理論構成的に無理でしょう。法が不備なのです。