このあたりはちょっと微妙な解釈の問題ですね。指令を送って制御を免れるって、何を指してそう判断しているのか。ひょっとして我々サーバー管理者が普段やってるような事だったりしないかな。
少なくともこの保護団体のCGIだかなんだかは、侵入を防ぎきれなかった脆弱性が存在していたことには間違いがないわけですよ。よりにもよって著作権保護団体のサーバーだというのが恥ずかしい感じもします。
この容疑者は、おおっぴらに公開モードでやっていたわけで、悪意は感じられません。というより、セキュリティへの認識を高めたい一心で行きすぎた行為を行った可能性が高いように思います。まあ、これだけの記事で判断は出来ませんけど。
私の参加しているメーリングリストのメンバーでもあったようです。（会話を交わしたことはおそらく無いと思いますが）
追記：
当のACCS自体は、すでに謝罪しているんですね。こういう事件があった事を知りませんでした。

ありそうな話し
予算が少ない部署で、ユーザーからのご意見を求める掲示板CGIを設置。お金がないのでフリーなものを導入。ディレクトリ構成はデフォルトのまま。データファイルのパーミッションは666だった。フォームには一応落書き牽制の為に住所氏名年齢まで書く欄をもうけた。
それ以上のセキュリティに関しては、担当者はわからなかったので、そのままＧＯサインを出して公開した。
ハッカーが山勘で、データファイル名ダイレクトにアクセスしてみたら、全部見えてしまった。
ハッカーはこのときなにげなくアクセスしたため、プロキシすら通していなかった。
「やば！」と思って顔が青ざめたが後の祭り。しっかりロギングされてしまった。
後日司直の手が…
さあ問題です。誰が悪いのでしょう？
【上記事件とは一切関係ありません】