私たち自身が攻撃を軽減しなければならない理由

大規模なリフレクション攻撃のような帯域幅に焦点を当てた攻撃を軽減するためにパートナーと協力する一方で、私たちはユーザーのデータを完全にコントロールし続けるような方法でこれを行います。これは**、競合他社の多くが行っていることとは異なり、よりプライバシーに配慮したもの** です:

DDoS攻撃を軽減するのは、いわゆるスクラビング・センターでサード・パーティにサーバー上のトラフィックを解読・検査させる方がずっと簡単です。別の方法として、一部の競合他社は、暗号化解除されたトラフィックをクローズド・ソースのサードパーティ製アプライアンス（ブラックボックス）に送り込んでいます。しかし、どちらの方法も顧客のデータに対するコントロールを失うことを意味する。

これはTutaの選択肢ではありません:サードパーティのアプライアンスの助けを借りずにDDoS攻撃を防がなければならないのはそのためです。 IPアドレスやアクセストークンのような 非常に機密性の高いデータは 、サードパーティがユーザーになりすましたり、ユーザーのデータを削除したりすることを可能にします。また、第三者がIPアドレスからユーザーIDへの割り当てを追跡 することも可能になります**。言い換えれば、第三者はどのIPアドレスがどのメールアドレスに属しているかを知ることができるの** です。

つまり、第三者はどのIPアドレスがどのメールアドレスに属しているかを知ることができるのです。そのため、Tutaではどのような状況においてもユーザーのプライバシーを最優先しているため、第三者のアプライアンスを使用することはできません。

何が起こったか

Tutaでは、ユーザーのデータを可能な限り保護するため、DDoS攻撃を独自に緩和しています。しかし、この高いレベルの機密性とセキュリティを維持するには、コストがかかります。私たちはDDoS攻撃を独自に軽減しなければならず、また、DDoS攻撃に対する軽減策を実装するために、私たちの利用可能なエンジニアリング時間を大幅に投資 しなければなりません。私たちは非常に頻繁に攻撃を受けますが、通常、ダウンタイムゼロでほぼすべての攻撃を軽減している ため、ユーザーは攻撃を受けたことに気づきません。

これは12月初旬のことです。5日間で2.5時間のダウンタイムが 発生しました。最長のダウンタイムは80分でした。このようなご迷惑をおかけして大変申し訳ありません。私たちは、このようなことが許されないことを理解しており、この5日間、攻撃を軽減するだけでなく、私たちの軽減策を改善することに集中しました。

私たちは、2週間前にバグが導入されていたことを発見しました。このバグは、自動化されたミティゲーションが以前ほどスムーズに機能しなかった原因であり、すぐに修正した。また、大規模なボットネットからのDDoS攻撃に対する他の2つの緩和策も大幅に改善しました。数秒以内にボットネットを検知し、ブロックできるようにしたのです。実際、私たち自身、サーバーの負荷が完全に正常な範囲に保たれるほど、緩和策がうまく機能したため、私たちのサーバーで過去2、3回の攻撃の波に気づくことさえありませんでした。これはまた、私たちのユーザーである皆さんもこれらの攻撃に気づかなかったことを意味します。これはあるべき姿であり、私たちはこの成果を非常に喜んでいます！

これらの改善により、私たちは非常に優れた対策を講じ、ボリュメトリック・リフレクションから分散型ボットネット攻撃まで、あらゆる種類の攻撃をブロックできる ようになりました。

ということは、TutaはもうDDoS攻撃に対して脆弱ではないということですか？ 残念ながら、答えはノーです。私たちはここで完全に正直でありたいと思います:私たちは、量子的に安全な暗号化で最も安全な電子メールとカレンダーサービスを構築するだけでなく、ゼロ知識アーキテクチャを維持し、技術スタック全体を所有するために多くの投資を行っています。なぜなら、サーバー、インフラ、使用するソフトウェアを完全に管理することで、IPアドレスを含め、お客様のデータとプライバシーを最大限に保護することができるからです。説明したように、これは私たちにとってはより困難なことですが、お客様にとってはデータ保護がはるかに向上します。そのため、私たちのシステムは現在、あらゆる種類の攻撃を防御する能力を備えていますが、将来、攻撃者が新たな攻撃手段を考え出す可能性は常にあります。

しかし、たとえそのような攻撃があったとしても、私たちは迅速かつ適切に攻撃対策を改善することができます 。

コミュニティに感謝

私たちTutaは、DDoS攻撃を緩和するための優れたチームにとても感謝しています。そして、Redditでそう言って、私たちに寄り添ってくれる優れたコミュニティにさらに感謝しています。

いつものように、我々は言わなければならない:私たちがここにいられるのは、皆さんのおかげであり、皆さんのサポートは私たちにとってかけがえのないものです！皆さんのサポートと相まって、私たちは以前よりもさらに強くなることでしょう！💪💪💪

❤️ ありがとうございます！この困難な時期に私たちに愛を示したい方は、お気軽に寄付またはアカウントをアップグレードしてください。❤️

安全でプライベートなEメールの使用を望まない人がいたとしても、私たちはあなたのプライバシーの権利のために戦い続けます。

Tutaチームは、この困難な時期におけるあなたのサポートに感謝します。

---

ここでは、ソーシャルメディアや電子メールを通じて最も頻繁に寄せられる質問にもお答えしたいと思います:

私のデータは安全ですか？

はい、Tutaのデータはすべて安全に暗号化されており、誰にも、私たちにもアクセスすることはできません。

DDoSの間、私のEメールはどうなりましたか？

DDoS攻撃中に受信したEメールはキューに入れられ、後で配信されました。

誰かがTutaをハッキングしたのですか？

いいえ、攻撃者がTutaサーバーをハッキングしたり、サーバーに保存されているデータにアクセスしたりしたことはありません。データは侵害されていません。

パスワードを変更する必要がありますか？

いいえ、パスワードを変更する必要はありません。Tutaはパスワードのハッシュを保存します。このハッシュから実際のパスワードを導き出すことは不可能です。したがって、私たちTutaでさえも、誰もあなたのパスワードを知ることはできません。パスワードを保護するために、私たちはArgon2を使用しています。

オフライン可用性

Tuta MailとTuta Calendarは、AndroidとiOSのTutaモバイルアプリ、およびLinux、Windows、macOSのデスクトップクライアントで、有料プランをご利用の場合、オフラインでもアクセスできます。また、インターネットにアクセスできないときに後で送信するメッセージの下書きができるように、オフライン時の書き込みアクセスを有効にする予定です。現在、2025年に向けたロードマップを計画中ですが、オフラインでの書き込みアクセスは間違いなく優先されるでしょう。