要約
- エリクソンの SGSN-MME ソフトウェア2バージョンに組み込まれたセキュリティ証明書が、2018年12月6日英国時間04:30に期限切れとなり、共有モバイルコア依存関係を通じて複数の事業者や国に影響を及ぼした。
- 公開記録は、実際の管理が明確に分かれていたことを示す。エリクソンが組み込み証明書とソフトウェアライフサイクルを管理し、事業者が導入アーキテクチャ、インシデント対応、顧客通信、サービス復旧を管理し、規制当局が法的評価と将来の保証期待を管理した。
- Ofcom は O2 が適切な措置を講じたと結論づけ、適用される英国のセキュリティ義務違反はないとした。しかし、この結論は、事業者が自らの法的責任を委任したり、サプライヤーの非開示証明書を他者の継続性問題として扱えないという広範な教訓を消し去るものではない。
- 日本の規制当局はソフトバンクの障害を約3060万ユーザーに影響する重大事故として扱い、警告と文書による行政指導を発出した。ソフトバンクはロールバック、在庫管理、復旧手順、マルチベンダー対策を公表した。
- 公開されている復旧記録は重要だが不完全である。エリクソンの最終根本原因報告書、証明書の識別情報と所有履歴、変更されたソフトウェアの独立検証、同様に影響を受けた全設置箇所が是正された証拠は含まれていない。
- 持続可能な説明責任には、期限切れ在庫管理、指名された所有者、独立した警告付きライフサイクル管理、障害ドメインの多様性、訓練された復旧、依存関係を考慮した顧客通知、経営陣の保証を超える証拠が必要である。
インシデントは日付によって予定されていたが、その影響はアーキテクチャ上のものであった
2018年12月6日英国時間04:30、組み込みセキュリティ証明書が有効期限に達した。O2 のモバイルネットワークはサービスを失い始めた。日本では同時刻13:30に、ソフトバンクのネットワークも数分後に障害が発生した。エリクソンは後に、この障害は複数国の一部顧客が使用する特定のコアネットワークノードに関係し、特定のバージョンの Serving GPRS Support Node および Mobility Management エンティティソフトウェアが関与し、期限切れ証明書が初期根本原因分析で特定された主要問題であると述べた。同社のCision を通じた公式アップデートは、問題のソフトウェアを廃止し、影響を受けたほとんどのサービスが日中に復旧したと述べた。
この説明は引き金を特定するが、説明責任の問題を完全に説明するものではない。証明書は時間制限付きの資格情報である。Internet Engineering Task Force のX.509 証明書と証明書失効プロファイル RFC 5280では、証明書はnotBeforeとnotAfterで定義された有効期間を持ち、依存システムは関連時点で証明書が有効か判断できなければならない。エリクソンの証明書の正確な役割は、検証パスを再構築できるほど詳細には公開されていない。確認されているのは、その期限切れがソフトウェアと相互作用し、コアネットワーク機能を停止させたことである。期限切れの瞬間は決定的だった。全国的および国境を越えた影響は、ソフトウェアがどこに配置され、どの程度均一に導入され、障害後にどのような復旧選択肢があったかの結果であった。
(以下続く)

