■「ACCS側はCGIの脆弱性を知ってて放置してた」って聞いたけど、それって自己責任じゃ？

　難しいのは、ここでいう「ACCS側」が複数の組織から成り立っている点です。ACCSはASKACCSのwebサイトの運用管理をヨセフアンドレオン社に委託しており、実際のサーバはレンタルサーバ事業者のファーストサーバ社に設置されていました。そして脆弱性のあったCGI「csvmail.cgi」は、ファーストサーバが契約者に無償提供していた「標準CGI」キットに含まれていたものです。

　ファーストサーバではこのフォーム系CGIの脆弱性に以前から気づいており、2003年3月頃から修正版CGIの情報をCGI利用者（ヨセフアンドレオンも含まれると思われる）に通知していましたが、この連絡メールには脆弱性に関する警告は含まれておらず、単にバージョンアップしたCGIの紹介と任意のアップデートを促す内容でしかなかったことがACCSの事後説明やその他のファーストサーバの利用者などの報告からわかっています（このあたりの経緯は2chスレッド「ファースト鯖」149-を参照）。なお、ファーストサーバ側は現在に至るまで本事件に関する報告や声明は一切出していません。

　一方、ASKACCSサーバの構築運用を担当したヨセフアンドレオンは2/4にoffice氏逮捕に関する声明文を発表しましたが、2/6にこれを削除し（削除された内容はこちら）、会社案内ページの取引先企業名からもACCSの名前を削除しました（改変前のgoogleキャッシュはこちら）。

　このあたりの事業者の関係の複雑さもあって、本件では不正アクセス禁止法における「アクセス管理者」に相当するのが誰なのか不透明な部分があり、このことが後の裁判において重要な争点になる可能性があります。詳しくは「ACCSとヨセフアンドレオンとファーストサーバの関係がよくわからないんだけど。」を参照してください。