うーん不正アクセス禁止法で有罪判決かー。ひとまず現時点では、あの程度の（パラメータを平文レベルで書き換える（しかもブルートフォースアタックでもなく）だけで破ることができるセキュリティ、というか、単にセキュリティに関する無頓着さ）を突破することは、不正アクセス禁止法に触れるという判断なわけね。

俺は、「高木浩光＠自宅の日記 - 不正アクセス禁止法 私はこう考える」に書かれている、

どこかに線引きをして、ここまでは法律による保護もあるが、ここからは保護されないので、最低限の安全対策として（ファイル丸出し同様に）必ず実施しなくてはならないこととして、倫理を形成していくしかないのではなかろうか。

における線引きの手前、「最低限の安全対策として開発・運営者側が実施しなければならないこと」の方に含めた方がいいと思うんだけどなー。

少なくとも、いかにもセキュリティ的にやばそうなサイト（ソースコード）等を見つけたときに、その危険度をある程度は実際に試して測ってもいいと思う。というか、そのくらい自己防衛の一環としてやらせて欲しい。もちろん「ある程度」の範囲は常識的な範囲であるべきだと思うけど（この件ではoffice氏はその範囲を逸脱したとは思う）。

試してみただけで不正アクセス禁止法に触れる、と言われてしまうとリスクを測ることもできないままに、そのサイトを使うか使わないかを判断しなければならないし、またやばそうだと思ってもそれを（具体的な根拠がないから）誰かに告げることもできない。いつか致命的な何かが起きないことを祈りながら、そのまま放置するしかなくなる。

そういう危険性を未然に回避するためには、それまでoffice氏が行ってきた、やばそうなサイトに対して実際にやばいのかどうかを試し、問題があった場合は修正するように通知するという活動は、非常に有用だったと思っている。現時点でも、既知のセキュリティ的な問題を抱えたサイトは、世の中にまだまだたくさんあるはずだ。asahi.comの記事にあるように、セキュリティに興味がある人（善人・悪人問わず）には既知の問題でも、「アクセスはプログラムの脆弱（ぜいじゃく）性を利用したもので、管理者は想定もしていなかった」りするわけだし。

実際俺も昔office氏に、textmaniaのエラーメッセージのサニタイズ不足でXSSが可能だった点を指摘されて直したことがある。それ以来セキュリティ対策に関してはすごく意識するようになった。この件については、例の本にoffice氏の活動に対する謝辞として入れてある。office氏に対する応援のつもりだったんだけど、ひとまずは有罪判決が出ちゃったのか。不正アクセス禁止法に関しては無罪という線を願っていたんだけどな。