この二つの境界って、使う人が何のために使うのか、何が出来るのかによるような気がする。
検査ツールとして有名なISSやAppSccan、WebInspectも穴を見つけて、その情報を元に攻撃するという使い方されたら、これらも立派な攻撃ツールだろうし。ブルートフォースのツールなども、簡単なパスワードを使っているユーザがいないかを確認するために使うのであれば、立派な検査ツールだろう。また、各種DoSツールなんかも、DoSに対する耐性があるかどうかとか、負荷かけたときも大丈夫かなんてことを調べるのであれば、立派な検査ツールになると思う。
まあ、ツールも包丁と同じで、使い方によって良くも悪くも使えるってのが真相だろうけどね。