Anonymous Coward曰く、

今年9月～10月に予定されているラグビーワールドカップの公式チケットサイトでシステムの不具合があり、本来の会場とは異なる会場が記載された状態でチケットが販売されるといったトラブルが発生しているという（読売新聞、日経新聞）。

問題となったチケットは、本来は横浜国際総合競技場で行われる準決勝のチケット。すでにこの準決勝のチケットは販売が終了していたにも関わらず、豊田スタジアムで開催と記載された状態でチケットが購入できる状況になっていたという。誤って販売されたチケットは911枚で、購入者はキャンセルか正規のチケットの購入かを選択できるという。

チケット購入者はその座席番号が確認できるのですが、5chのラグビーワールドカップのスレッドでは、豊田の座席番号が記載されていたとのことなので、別のデータベースを参照したのでしょうか。

チケットサイトはバグが多いようで、他にも以下のような現象が報告されています。

• チケット購入のログイン時間は30分にも関わらず、買い物かごにチケットを入れたままでログアウトしてもそのままキープできる（数日すると消される）
• 在庫のあるはずのチケットを買い物かごに入れようとすると在庫がないと表示される（上で買い物かごでキープされているからか？）
• 表示の上では在庫がないはずのチケットについて、一定の操作を行うと隠し在庫が表示できて購入できる（修正済み）

6月7日に大阪市のシステムで障害が発生、住民票や保険年金関係、介護保険関係などさまざまな業務で書面や証書の発行ができない状況になっていたという（大阪市の発表）。復旧作業は8日に完了し、10日より通常業体制に戻っているようだ（大阪市の続報、日経新聞）。

システム停止の原因は調査中とのことだが、データベースを管理するファイルに不具合があったことが報じられている。

Windows 10 May 2019 Update（バージョン1903）の配信が5月21日より段階的に開始されたが（過去記事）、いくつかの不具合も確認されているようだ（窓の杜、続報）。不具合が発生する可能性のある環境に対しては配信停止措置が取られているため、手動インストールを行わない限り問題が表面化することはないようだが、手動でのアップデートを行う際には注意が必要とのこと。

ディスプレイの明るさを調整できない、Dolby Atmos関連ライセンスの認証の不具合、特定の条件でユーザープロファイルディレクトリに空のフォルダが作成される、といった問題が発見されているという。

taraiok曰く、

Facebookにはアップロードした写真から人物を認識してタグ付けする顔認識機能が実装されている。この機能はデフォルトで有効にされているものの、オプトアウト（利用拒否）もできるとされる。ところが消費者団体Consumer Reportsの調査によると、すべてのユーザーがオプトアウトできるわけではないという。調査によると、米国では31人中8人、約25％のアカウントに顔認識に関連する設定がないことが見つかった（The Daily Dot、Slashdot）。

Consumer Reportsのテストの責任者であるBobby Richter氏によると、現時点では少数のアカウントでしか調査していないため断言はできないものの、広い範囲で同様の問題が起きているのではないかと考えられるという。

あるAnonymous Coward曰く、

5月21日、Firefox 67.0がリリースされた。新機能として、仮想通貨の採掘（マイニング）やデジタル指紋による追跡をブロックする機能が導入されている（リリースノート、OSDN Magazine）。

合わせて、Firefox ESRもバージョン60.7.0およびThunderbird 60.7.0もリリースされた（Firefox ESR 60.7.0のリリースノート、Thunderbird 60.7.0のリリースノート）。

これらでは日本の新元号である「令和」のサポートも導入されている（Bugzilla）。

Facebook傘下のWhatsAppが提供するメッセンジャーアプリ「WhatsApp Messenger」でリモートからのコード実行が可能な脆弱性CVE-2019-3568が見つかり、修正版が公開されている(Facebookのセキュリティアドバイザリー、 The Guardianの記事、 Neowinの記事、 Android Policeの記事)。

Facebookによると脆弱性はWhatsAppのVOIPスタックに存在するバッファーオーバーフローの脆弱性で、特別に細工した連続するSRTCPパケットをターゲットの電話番号に送信することでリモートからのコード実行が可能になるという。ターゲットが応答する必要はなく、着信させるだけでコードが実行されるようだ。Financial Timesの記事によると、この脆弱性を悪用してスパイウェアをインストールするコードをイスラエルのNSO Groupが開発しており、既に攻撃が確認されているとのこと。

脆弱性はAndroid版のバージョン2.19.134やiOS版のバージョン2.19.51などで修正されており、最新版への更新が推奨されている。

先日発生したFirefoxの拡張機能全滅問題について、Mozillaが旧バージョンFirefox向けの修正を拡張機能としてリリースした。Firefox 66とFirefox ESR 60では既に修正済みバージョンがリリースされている(Mozilla Add-ons Blogの記事、 gHacksの記事、 Softpediaの記事)。

MozillaではFirefox 52～65向けの修正を予告していたが、実際にはFirefox 47～65向けの修正が提供されている。拡張機能はバージョン別に「Disabled Add-on Fix for Firefox 47-56」「Disabled Add-on Fix for Firefox 57-60」「Disabled Add-on Fix for Firefox 61-65」の3本に分けられている。それぞれ対応した拡張機能をインストールすることで新しい証明書がインストールされ、拡張機能やテーマが再び正常に利用可能となる。

なお、Firefox 61～65対応版のみ、Mozillaがデプロイした修正を受け取っておらず、最新版にアップデートしたくないユーザーにインストールが推奨されている。詳細が説明されていないためFirefox 61で試したところ、オプションで「プライバシーとセキュリティ→Firefoxが技術的な対話データをMozillaへ送信することを許可する」にチェックが入っている(デフォルト)と拡張機能が自動でインストールされた。このほかのバージョンに同様の説明はなく、設定にかかわらず手動でインストールする必要があった。

ちなみに、Firefox 61～65対応版はabout:addonsに「hotfix-update-xpi-intermediate」と表示され、このほかのバージョンでは「Hotfix for Firefox bug 1548973 (armagaddon 2.0) mitigation」(ママ)と表示された。Firefox 47～56対応版はダウンロードページにFirefox Quantumと互換性がないと記載されており、about:addonsでは旧式の拡張機能であることが表示される。ただし、MozillaではいずれのバージョンもFirefoxを最新版にアップデートする場合は互換性の問題が発生する可能性があるとして、アンインストールするよう求めている。

Mozilla Add-ons Blogの記事では修正に関する更新情報を追記してきたが、今回(5月14日)の更新情報が最終版になるとの見方を示している。

Ciscoのルーターにで多数の脆弱性が確認された。この問題は数百台の同社製ルーターに影響が及ぶという（マイナビニュース、FOSSBYTES、threatpost）。

この脆弱性はRed Baloon Securityによって「Thrangrycat」と名付けられている。脆弱性が存在するデバイスは多岐にわたっており、 リモートコード実行（remote code execution、RCE）を許すものも存在するとのこと（CiscoのSecurity Advisory）。

今回明らかになった脆弱性の多くはすでに対策パッチがリリースされている。一方でまだパッチが提供されているものもあるようだ。

headless曰く、

Twitterが一部のiOS版Twitterアプリのユーザーから誤って位置情報を収集していたことと、iOSの位置情報を信頼するパートナー1社と共有していたことを明らかにして謝罪している（Twitterのヘルプ記事、Neowin、BetaNews、Softpedia）。

誤って位置情報が収集されていたのは、iOS版Twitterで複数のアカウントを使用し、アカウントの1つで正確な位置情報を有効にしていた場合だという。このような設定になっていると、同じデバイスで正確な位置情報を有効にしていないアカウントを使用している時にも位置情報が収集されていたそうだ。

位置情報の共有については、広告のリアルタイム入札に関連するものだ。Twitterでは信頼するパートナーへ送信するデータから位置情報を削除するつもりだったが、実際には削除されていなかったという。その結果、誤って収集された位置情報もパートナーと共有されていたことになる。

ただし、正確な位置がわからないようにデータが加工されていたため、ユーザーの住所を特定したり、ユーザーの移動を追跡したりすることはできなかったとTwitterは説明する。また、パートナーが受け取った情報はシステム上に短時間保持されるのみで、通常の処理で削除されていたことも確認したとのこと。TwitterのハンドルやアカウントIDなどは共有されていない。

Twitterでは問題を修正して再発防止に努めており、影響を受けたアカウントのユーザーには通知したとのことだ。

headless曰く、

米国・テキサス南部地区連邦地裁は9日、グループFaceTimeのバグで盗聴被害にあったと主張するテキサス州在住の弁護士の男性がAppleなどに賠償を求めた訴訟を棄却した（Mac Rumors、裁判所文書）。

グループFaceTimeはiOS 12.1以降およびmacOS Mojaveに搭載されたグループで利用可能なビデオ通話機能だが、通話相手が応答しなくてもマイクからの音声を聞いたり、カメラからの映像を見たりできるバグが1月に発見された。男性はクライアントの証言録取を行う際にこのバグが悪用されて会話の内容が第三者に聞かれたと主張。Appleのほか、Appleの従業員など名前の不明な被告100名を相手取ってテキサス州裁判所に訴訟を提起した。

男性はAppleがテキサス州でビジネスを行っていることからテキサス州裁判所の管轄だと主張していた。しかし、Appleは同社がカリフォルニア州の企業であり、訴訟当事者が複数州にわたるため州裁判所の管轄外だと主張して連邦地裁に申立を行い、請求対象から除外されている。そのため、男性が州裁判所への差戻請求を行う一方、Appleは連邦民事訴訟規則12（b）（6）により、訴訟自体の棄却申立を行っていた。

連邦地裁では差戻請求に法的根拠がないとして却下し、訴えの内容がAppleの責任などについてテキサス州法で規定される要件を満たしていないことを理由に、連邦民事訴訟規則12（b）（6）で規定される請求棄却事由「（事実と認められた場合に）救済の対象となる申立を行っていない」に相当すると判断。6月7日までに修正訴状を提出すれば再訴可能（提出しなければ再訴不可能になる）という条件で訴訟を棄却した。

Microsoft AzureでDNSの設定ミスによるネットワーク障害が発生していたとのこと（Publickey、Azureの「状態の履歴」ページ）。

障害が発生していたのは5月2日19時29分（UTC）から22時35分まで。Azureを利用しているサービスに加えて、Office 365などMicrosoftのクラウドサービスも利用できない状況になっていたという。

この障害はDNSの設定関連の設定ミスが発端。Azureでは各ゾーンに4つのDNSサーバーを設置しているが、その1つのみに対しアップデートを行ったという。その際に設定ミスがあり、結果的に空のゾーンが生まれしまったためにDNSが不適切な応答を行うことになってしまったようだ。

先日発生したFirefoxで全拡張機能が動作しなくなる問題に関連して、Mozillaは当初の修正提供時に収集したテレメトリーデータをすべて削除する計画を明らかにした(The Mozilla Blogの記事、 Neowinの記事、 BetaNewsの記事、 Softpediaの記事)。

Mozillaでは日本時間5月4日に発生したこの問題に迅速な対応を行うため、当初の修正配布に「Firefox調査」のシステムを使用した。Firefox調査を利用するにはMozillaへのテレメトリーデータ送信を許可する必要がある。Firefox調査およびテレメトリーデータ送信はデフォルトで有効になっているが、オプトアウトしていたユーザーは一時的に再度有効化しなければ修正を受け取ることができなかった。ユーザーの意志とは異なるデータ収集を避けるため、Mozillaでは日本時間5月4日20時～5月11日20時までに収集された全ユーザーのテレメトリーおよびFirefox調査のデータを削除する計画とのこと。

既にこの問題を修正したFirefox 66.0.5およびFirefox ESR 60.6.3がリリースされており、修正を受け取るためにFirefox調査を有効にする必要はなくなっている。Mozilla側では日本時間5月14日1時以降にFirefox調査を再度有効化する予定で、オプトアウトを継続したいユーザーはそれまでに設定を見直す(Firefoxのオプション→プライバシーとセキュリティ→Firefoxのデータ収集と利用について)ことが推奨される。

5月1日、政府は改元によって情報システムに支障が出たとの報告はないと発表していたが、実際のところは各所でさまざまなシステムの不具合が残っており、特に連休終了後の5月7日以降はさまざまなトラブルが表面化していたようだ（日経xTECHの記事1、記事2、piyolog）。

トラブルの例としては、書類に「31年」や「平成」と印字されてしまうというものが多い。また、名古屋市では日付関連の不具合で保険証の公布が一時的にできなくなる問題も発生している。

システムの不具合とはやや違うが、改元を口実に口座情報や個人情報を詐取したり、キャッシュカードや通帳をだまし取る詐欺事件も発生しているようだ（朝日新聞）。

あるAnonymous Coward曰く、

ゆうちょ銀行が5月8日よりサービスを開始したスマートフォン決済サービス「ゆうちょペイ」だが（CNET Japan）、アプリでのアカウント作成時に名字として「佐々木」を入力するとアカウントを作成できないというトラブルが発生していたとのこと（ITmedia）。

「ひらがな、カタカナ、漢字、アルファベットのみ入力してください」というエラーメッセージが出るとのことで、どうやら「々」を「ひらがな、カタカナ、漢字、アルファベット」として認識していなかったのが問題のようだ。すでにアプリのアップデートで改修されているという。

今年のゴールデンウィークは10連休という長い連休だったが、この影響で連休明けの5月7日、ゆうちょ銀行や楽天銀行、みずほ銀行のオンラインサービスに繋がりにくくなる障害が発生していた模様（日経xTECH）。

連休明けに多くの顧客がネットサービスにアクセスし、その結果サービスが利用しにくい状況となっていたという。いずれも翌日までには解消しているとのこと。