asahi.comの記事。

実際リアルで新聞を読んだんですが、第一印象は「なんで今頃」ですな。いろんなところですでに記事になっていたし。まぁ、１面に書くネタがなかったので、特集あたりで使う予定だった記事を急遽差し替えたのかな、という感じ。

で、各所いろんな反応（ピンキリですけど）があるようなので、ここで個人的意見をば。

やり方そのもの（実際のプレゼンを見ていた）はちとやりすぎの感があり、ある種の暴走だったかな、モザイクはかけるべきだったろうに、とは思う。が、しかし、そうでもしないと反応しないコンテンツ提供者がほとんどである、というのもまた事実だったりする。実際の攻撃コードを送りつけることが必要な場合がほとんどなんじゃないだろうか。これは別にSQLインジェクションやXSSとかに限らない。
その一方で、そんなもの撃ち込んだら、やれ不正アクセス禁止法に抵触するだのなんだのと言われるのは自明だったりするわけで。じゃぁ、安全を保つ方法はどこにあるんでしょ？まともな作り込みのできないコンテンツ提供者が安全なよう、テストを行うとは思えないし。使うなって事なんでしょうな（事実私はこっちを採択しております）。
昔はいろいろなところに連絡を取っていたけれど、大企業になればなるほどケツが重かったりします。ACCSのケツはどうだったかわかりませんが。

私はofficeさんを弁護する気はないです。やり方としてはまずかったし、あの場でのプレゼン用に使うネタとしてはもう少し気配りは必要だったと思います。その意味で、謝罪は当然のこと（そして、当然謝罪文は載せている）。
ただ、くだらない祭り状態となり、話が拡散してしまっている自称論者の方がなんぼかアレゲ過ぎ。これを格好のネタとして、「どうするのがベターなのか」を考えて欲しいと思ったりしています。

脆弱性を見付け（てしまい）、それを連絡し、そして、公開すると言うことはとても難しいことなのです。私自身、いくつか失敗もしましたし（滝汗）。
ベンダー（コンテンツ提供者）とユーザ間の目に見えない信頼関係を大事にしておけばあまり問題にはならないものですが、目に見えない信頼をメールだけで確保することは非常に難しかったりしますから。