何だかどのツリーも発散しているようなので根っこにコメント付けよう。

＞これって不正アクセス禁止法にはどう考えても該当しないと思うんですが、どうなんでしょうね。

まず、不正アクセス禁止法では「不正アクセス行為」として第三条の２の二で

アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報（識別符号であるものを除く。）又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

と定義しています。
（括弧内で識別符号であるものを除いているのは、識別符号の不正利用は第三条の２の一で定義しているから）
ここで要件となっているのは「該当計算機がアクセス制御機能を持っている事」であって、アクセスパス自体にアクセス制御機能を持っている事は必要ありません。
そうでないと、たとえばMTAのバッファオーバーフローを使ってバックドアを開けるという行為を「不正アクセス」とはできなくなってしまいます。（MTAではinboundに付いてはアクセス制御されていないのが一般的ですから）
ですから、ACCSの件でも、該当データがFTPなりtelnetなりsshなりでアクセス制御された領域にあれば要件を満たします。

次にアクセスパスの方ですが、実際にどのような形でアクセスして情報を引き出したのかがわからないので一般論ですが、良くある主張で「URLをちょっと書換えただけでは不正アクセスにはならない」というのがありますが、これは常に真ではありません。
たとえばhttp://user:pass@sample.com/という形で他人の識別符号を用いてアクセスすれば不正なのは明らかです。
あまり褒められた方法ではないですが、http://sample.com/login.cgi?ID=user&Pass=passという形であっても同様です。
一方でhttp://sample.com/とアクセスするのは不正ではないというのも明らかです。
となれば、URLを書換えた場合に不正となるかどうかというのは、この2者の間にあるグレーゾーンのどこからが不正で、どこからが合法かという事になるのですが、最終的には公知性と犯意の有無によって裁判所が判断する事になるでしょう。
公知性というのは、たとえばhttp://sample.com/foo/barというURLがhttp://sample.com/からリンクされているなどの場合。
また、最後のbarを削ってfoo/とすればディレクトリのリストが見える事が多々あるというのも公知の事実ですから、http://sample.com/foo/へアクセスする事。
またそのようなアクセスの結果ディレクトリリストが出てきて、そこに列挙されたファイルをアクセスする事。
これらは公知のものとなる可能性が高いでしょう。実際TBCの件なんかは公知の手段でのアクセスなので立件が無理という判断のようですし。

では、たとえば最後のbarをbazと書換えたら公開されていないはずのデータが取れてしまった場合等はどうなるかというと、こちらは犯意の有無が問題となってくるでしょう。
技術面だけを見る人は「同じ形であれば同じ結果（処分）にならないとおかしい」と考える人が多いですが、法律の世界では「犯意」が大きく結果を分けます。
たとえば料理をするために包丁を持っていて、振り返ったら人がいて刺し殺してしまった場合は「過失致死」ですが、そこに人がいる事を知って殺そうと思って刺せば「殺人」です。

今回の場合はどのような結果になるかはわかりませんが、現時点で「明白に白」とも「明白に黒」とも（少なくとも外野の我々は）言えません。
言える事は「不正アクセス禁止法に該当する場合もあり得る」という事。

一応のアクセス制御機構はあったはずです.
今回はそのアクセス制御機構に大穴があり,そこをついたのが
問題にされた様です.

ていうか,記事によっては余罪追及のあるらしい書き方を
しているのですが,出来れば今回はお灸を据えるぐらいに
とどめてほしいですね.

以前、仕事で係わっていた某サイトで、XSSの脆弱性があり、件のoffice氏
からメールで指摘が来たことがあります。
指摘そのものは、役には立ちましたが(苦笑)、かなり失礼というか、「御社
のサイトに脆弱性があったことや、その対応を○月○日に、公表させていた
だきます」と、脅迫紛いの文面に、内心ブチ切れながら、丁寧なお礼の返事を
書いたことがあります(当然、問題点を即座に直してから)。

はっきり言って、office氏の対応次第では、一歩間違えば会社に多大の損害
を与えかねないですし、返答しないのは返答しないのでマズいことが予想され、
返答をするにも、下手なことは書けないので、ともかく慎重にならざるを得ま
せんでしたが、「期限」まで時間もなかったので、そこの部門長と相談のうえ、
あくまで丁寧にお礼を述べ、かつ個人的な見解であることを断ったうえで、
対応を説明しました。
彼のような指摘のメールでは、返事を書くにしても法務部などにチェックを
仰がなければならないと考えて、返答をしないという選択をしても誰も責め
られないでしょう。

こっちは、会社やWebサイトの評判がかかっているのに、彼は office などと
いうふざけた匿名の臆病者で、おまけにすべてにおいて高圧的かつ、見下した
態度（引用したいのですが、それができないのが残念です)でして、まともな
対応をしろというのは、ごく普通の現場担当者には酷というものです。

こう書くと、プロとしていかがなものか？　と書く人が絶対いるかもし
れませんが、すべてのエンジニアが、初めからセキュリティを意識した
コードを書けたわけではないですし、かつてのXSSもそうですが、新た
に指摘された脆弱性は、多くのエンジニアが見落していたことだって
あったはずです。
もちろん、今、XSSの問題を抱えたサイトを作るのは、どうかと思いま
すし、今回のACCSのような脆弱性は「有り得ない」と呆れるくらいです
が、よほどの天才でない限り、CGI覚えたての新米エンジニアが、最初
から、それを分かっているとは思えません(それは、教育の仕方や勉強の
仕方や教材に問題があるといえば、そうなんですが、現実とはそんなもの)。
彼のように、受け取った側が『固まってしまう』ような、やりかたでは、
まったく逆効果です。
本当にセキュリティレベルを向上したいのなら、もっとまっとうに、教育
の機会を提供するとか、ほかのアプローチを考えるべきでした。

会社などの中で仕事をしている人なら、コストなどとの兼ね合いで、
さまざまなトレードオフに悩まされているでしょう。既知のセキュリティ
ホールへの対応は当然するとしても、未知(少なくとも自分達にとって)の
ものに対応する余裕があるかというと、常に十分な対応はできないでしょう。

良くも悪くも、そうした現実を見据えたうえで、前向き、かつ地道な
活動をすべきですが、結局のところ、彼や彼を擁護する人々は、そうした
社会性やバランス感覚が欠如しているのでしょう。
ブタ箱に入れるのではなく、そうした社会性を勉強する経験をさせあげ
たいものです。

# ヤバいけど、昔の話だし、スラドのIDなんて所詮ACみたいなものなので、ID

朝日新聞の記事 [asahi.com]では
＞都内で開かれたネットの安全対策担当者やハッカーの集会で、
＞参加者約２００人に接続方法を公開し、協会にも接続したことをメールで通知した。
＞そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。

この記事を見ると集会で公表したことが閉鎖の原因であるように見えるんですが、
一方でACCSのリリース [askaccs.ne.jp]を見ると、

＞11月9日に、ある個人の方から、「ASK ACCSのホームページ上から
＞個人情報を入手できる」との指摘のメールをいただき、
＞ACCSで確認したところ、この方がメールに添付していた個人情報が、
＞ACCSの保有している情報と同一であると判明したことが発端です。
＞この事実を確認した時点でACCSでは、問題のあった「ASK ACCS」の
＞CGI機能を停止するなど技術面での緊急措置を実施した

とあります。
これを見ると集会での公開は何ら関係なく、通報された事実を確認したから
閉鎖したとしか読めないんですが…

まさかOffice氏が通報したこと自体が威力業務妨害とか？（全然笑えない）

ACCSは何も裁きはうけないでしょう。
何も罪を犯してないんだから。

ただ公開されてしまった人たちが、契約違反で賠償請求出来るかも。

そういった、個人が立ち上げても企業側に信頼されなければコーディネート機関としては成り立たないわけで。

そういった観点から、既に認知度・信頼度をある程度獲得している組織が旗揚げするのが一番何じゃないかなと思う。

ただ、そういった組織になるとそんな利益にならないもの立ち上げてもしょうがないから、やらなそうだけど…。

ニュー速見るとWinnyの作者と勘違いしている人もいるな。