VeraCryptを使って個人データを安全に保存する方法。TrueCryptのファイルもマウント可能!

encrypt

私は2014年5月下旬に開発が停止してからも、TrueCryptをずっと使い続けていました。

TrueCrypt’s Security Audit Is Finally Done, with (Mostly) Good Results
いろんな憶測があったようですが、検証の結果、バックドアは発見されず、いくつか見つかった脆弱性も、特別な状況下で再現されるものとのこと。そんなに心配する必要もなさそうです。

このまま使っていくつもりでしたが、TrueCrypt7.1aをベースに作成されているVeraCryptが良さそうな感じ。TrueCryptで作成したファイルのマウントもできるし、なによりTrueCryptの後継として開発が続いています。なので、VeraCryptを使ってみることにしました。

VeraCryptやTrueCryptって何?

暗号化された仮想ディスクを作成するソフトです。ディスクとして利用するには、パスワード(又はキーファイル)が必要になります。これらをきちんと管理しておけば、仮想ディスクに保存したデータを、他人に見られる可能性が激減します。また、ポータブルアプリとして利用できるので、パソコンにインストールする必要もありません。

仮想ディスクの利用は、オンライン(クラウドサービス)とオフライン(家、職場、学校など)のデータ盗難に有効な対策となります。今回はポータブルアプリとしての利用を想定して進めていきます。

VeraCryptをポータブルアプリとして使うための準備。

準備といっても、ダウンロードしてファイルを展開するだけです。

VeraCrypt

VeraCryptはWindowsの他、LinuxとMac OS Xに対応しています。上記リンクのダウンロードページより、自分のOS環境に合ったプログラムをダウンロードしてください。

veracrypt01
[テスト環境]
Windows8.1 VeraCrypt1.0f-2
ディレクトリは E:¥Portable¥ です。

インストール(ファイルの展開のみ)

ダウンロードしたプログラムを実行すると、ライセンス条項(license terms)が表示されます。それに同意して次へ進んでください。インストーラーは英語表示ですが、VeraCryptには日本語言語パックが同梱されているので、日本語メニューで使用できます。

veracrypt02

USBメモリなど外部メディアに入れて使いたい場合は、インストール不要の[Extract]を選択してください。ファイルが展開されるだけで、パソコンにはインストールされません。ポータブルアプリとして利用する場合はこちらです。

システムパーティションやシステムドライブを暗号化したい場合は、[Install]の方を選択してください。VeraCryptがパソコンにインストールされます。

veracrypt03
2つの確認メッセージにOKした後、上記の画面に進みます。ここでは、ファイルを展開する場所を指定します。デフォルト(初期設定)は、VeraCryptのSetupプログラムがあるフォルダになっています。[Extract]をクリックするとファイルの展開が始まります。

veracrypt04
VeraCryptフォルダにあるVeraCrypt.exeを実行すると、上記の画面が表示されます。
TrueCryptユーザーなら見慣れた画面なので、特に迷うことなく使えると思います。

メニューの日本語化

veracrypt05

[Settings]⇒[Language]と進み、リストの中から日本語を選んでOKを押してください。そうすると、上の画像のようにメニューが日本語になります。

VeraCryptの使い方:仮想ディスクを作成する。

ハードディスクの中に暗号化された仮想ディスクを作成します。この仮想ディスクへ機密性を守りたいデータを保存していきます。OS側から見れば、仮想ディスクは1つのファイルに過ぎません。VeraCryptでマウントしてはじめて、ドライブレター(DやEドライブなど)を割り当てられ、データの保存や閲覧が可能になります。

マウントとアンマウントについて
例:USBメモリ
USBメモリをパソコンに差し込み、OSに認識させて読み書きできる状態にすることを、マウントすると言います。アンマウントはその逆で、取り出して読み書きできない状態にすることです。WindowsはUSBメモリを差し込むと、自動でマウントしてくれます。そのため、特に意識することなく、リムーバブルディスクとして利用できます。一方、VeraCryptで作成した仮想ディスクは、手動でマウントする必要があります。

仮想ディスクの作成

ここでは、隠しボリュームのないシンプルな仮想ディスクの作り方について説明していきます。
veracrypt06
VeraCryptを起動して、[ボリュームの作成]⇒[暗号化されたファイルコンテナを作成]を選択⇒[VeraCrypt標準ボリューム]を選択して次へと進んでください。

veracrypt07
[ボリュームの位置]
ファイルの選択をクリックして、仮想ディスクのファイル名と保存するディレクトリを決めてください。画像の例では、E:¥Portable¥ に test というファイル名で作成します。
[暗号化オプション]
暗号化&ハッシュアルゴリズムはそのままで構わないので次へ。
[ボリュームのサイズ]
仮想ディスクのサイズを決めて次へ。ここでは100Mにしました。
[ボリュームのパスワード]
仮想ディスクのマウント時に使うパスワードを決めて次へ進んでください。

veracrypt08
20文字未満だとこのような警告メッセージが表示されます。パスワードの作成方法については、次項の「覚えやすいけど推測されにくいパスワードの作り方」を参考にしてみてください。

veracrypt09
[ボリュームのフォーマット]
VeraCryptのウィンドウ内で、マウスを動かしてください。長く動かすほど暗号鍵の強度が上がっていきます。それから[フォーマット]をクリックしてください。「ボリュームが作成されました」と表示されたら[終了]をクリックして完了です。

パスワードの作り方について必要ない場合は、次項の「VeraCryptの使い方:仮想ディスクをマウントする。」へ進んでください。

覚えやすいけど推測されにくいパスワードの作り方。

私は30~50文字くらいのパスワードを使っています。長すぎると思われるかもしれませんが、すでに脳内に記憶してあるデータを利用すれば、文字数の多さが覚え難さにつながることはありません。逆に他人にとっては、文字数が多いほど推測しづらくなっていきます。

例えば。。。
ふるいけや かわずとびこむ みずのおと

これをローマ字にして、区切りを@にします。
furuikeya@kawazutobikomu@mizunooto@

次に、各文字の最初のアルファベットだけをピックアップします。
furuikeya@kawazutobikomu@mizunooto@
friky@kwztbkm@mznot@

ここまで変換してしまうと、あいつは松尾芭蕉のファンだから、芭蕉に絞った辞書を使って。。。と解析されてもヒットすることはないです。この例だと20文字と短いので、もう一つ別の俳句を追加すれば、ほどよい長さになります。下記のパスワードは、閑さや~の俳句を追加したものです。
friky@kwztbkm@mznot@szksy@iwnsmir@smnke@

このように好きな俳句や名言、曲の歌詞などを一定のルールで変換すれば、自分は覚えやすいけど、他人には推測しづらいパスワードを作成できます。これに数字の語呂合わせを組み合わせれば、更に強力なパスワードになります。

VeraCryptの使い方:仮想ディスクをマウントする。

veracrypt10

[ファイルの選択]から、先ほど作成した仮想ディスク「test」を選び、「Lドライブ」としてマウントしてみます。ドライブレターは何でも構いません。

veracrypt11

仮想ディスクの作成時に設定したパスワードを入力して、OKを押してください。

TrueCryptで作成した仮想ディスクの場合
[TrueCrypt Mode]にチェックを入れてマウントしてください。

veracrypt12

無事マウントが完了すると、Lドライブとして認識され、データの読み書きが出来る状態になります。データを保存し終わったら[アンマウント]をクリックして終了してください。仮想ディスクは1つだけでなく、複数マウントして使用できます。

最後に

少し手間はかかりますが、仮想ディスクにデータを保存して、機密性を高めた方が安全です。仮想ディスクが外部へ流出した場合も、第三者がパスワードを解読するのは非常に困難です。データを盗まれないように気をつけるのと同時に、盗まれてもよい状態(解読困難な状態)にしておくのも大事だと思います。