業界とか統計のいう「不正アクセス」と法律上の「不正アクセス」が違うのがややこしい。
パスワード掛けられるのに掛けていないのは、アクセス制御ないですから、法律上の不正アクセスではありません。単なる「アクセス」
http://www.ipa.go.jp/security/awareness/administrator/crack-now.pdf
狙われる脆弱性Top 20
n OS, アプリケーションのデフォルトインストール
n 弱いパスワードまたはパスワード未設定
n パックアップをしていない、または不完全
n 多くのポートが開けっ放し
n パケットフィルタリングをしていない
n ログをとっていない、または不完全
n 脆弱性を持つCGI プログラム
n Windows 関係の脆弱性6つ
n Unix系OS 関係の脆弱性7つ