「認証機構を騙した」は不正アクセスだけど、その「認証機構」は識別符号の利用が前提であるから、
識別符号を利用していないセッションIDのシステムは認証機構とは認められず、
騙したとしても不正アクセスとはみなされない

はい論ぱっぱ