フリーウェア VeraCrypt でドライブ(パーティション)やUSBメモリの暗号化をする

投稿者: | 2019年4月16日

暗号化したドライブを利用したい、お金のかからない方法で

やりたいことは、持ち歩くノートPCに個人情報を入れるとか、メール送受信をするなどで、『暗号化したドライブを作りたい』というケースです。
また、USBメモリを手軽に暗号化して利用したいというケースです。

VeraCrypt をおすすめ

ライセンスはTrueCryptのライセンスに従うものの、ソースはオープンであり、利用する範囲ではフリーウェア(インストール後にdonateの画面は出ます)です。気になる人は Wikipedia を参照するなり、本家のサイト ( https://www.veracrypt.fr/en/Home.html ) を読んでください。

ドライブの暗号化とインストール

パソコンにインストールします。Windowsの場合はシステムドライブの暗号化もできるようです。(これはやったことがありません。)
自分が使うケースでは、ノートPCのDドライブにtoolsというフォルダを作り、そこにインストールして、別のパーティションを暗号化ドライブとするものです。ノートPCの場合、その暗号化ドライブに個人情報を入れ、メールについてもThunderbirdはシステムドライブにインストールしますが、プロファイルとメールデーターを暗号化ドライブに振り向ける使い方をしています。
ドライブレターのないパーティションをマウントすることで暗号化・復号化をしながら使えるドライブが見えるようになります。

USBメモリを暗号化する場合

持ち歩く先にもVeraCryptがインストールされているとは限りませんから、USBメモリ自体にポータブル版(単にインストールしないだけで、フォルダが展開されるから機能的に制限されるわけではない)のVeraCryptを展開します。
同じUSBメモリ内に暗号化したファイルを作ります。後ほど説明しますが、VeraCryptは、そのファイルをマウントすることで利用できるようになります。暗号化されているのはファイルですが、そのファイルの大きさのドライブが利用できるようになります。

さっさとインストールしたい人は先へ

ドライブ暗号化の目的でインストールするケースと、Portableを展開してUSBメモリを暗号化し持ち歩くケースを想定して書いているので、能書きはいらない人はスクロールしてください。

暗号化したら安全なのか?

暗号化したところで絶対に安全、破られることはないわけではありません。
暗号化されたものを復号する(読み出す)ためにアタックをかけるソフトは世の中に存在します。それは破るためにキーボードに存在するすべての文字の組み合わせを片っ端からやっていくブルートフォースアタック(総当たり)を試せば、いつかは破れます。

今どきの暗号は、暗号化されたファイルを調べたり、暗号化の方式から、計算でパスワードが求められません。破るとしたらブルートフォースアタックだけです。
いつかは破られるのだから、安全とは言えないけれど、現代の高速なコンピューターでも総当たりで試したら何十年もかかるなら、実質は安全というもの。大量のコンピューターを用いて解析を分担すればその時間は短くできます。大量のコンピューターを導入するほどのお金をかけてまで読み出したい情報なら、パスワードを知っている人を捕まえてきて拷問するとか、その人の家族を誘拐して喋らせるほうが早いのでしょうね。その犯罪をされるほど重要なデータを持っていない人なら、『解かれにくいパスワード』で守っておく程度で足りるはずです。

つまりは、「辞書にあるような単語」や、単語の組み合わせ、単語と数字の組み合わせ、キーボードの並びなど、『安易につけそうなパスワード』は避けましょう。
ブルートフォースアタックをする側も、まずは、そういう単純なものから試していきます。

ちなみに、VeraCrypt(と前身のTrueCrypt)は、『隠しボリューム』というものを作れます。暗号化した領域の中に、もうひとつ暗号化したものを作れます。
以下は、VeraCryptのボリューム暗号化のウィザードから飛んだ説明です。

わかりやすく言えば、2つの暗号化領域を設けて、それぞれパスワードを変えて、どちらを利用するかを選べる、というもの。

これは正直なところ、無意味だと思います。
拷問されて「パスワードを吐け」と言われたときに、とりあえず渋ったあとに、パスワードをしゃべったとします。それとは別にもう1つの暗号化した部分があるから、そっちは黙っていて、見られていいほうをしゃべる、という話。

「これはどのソフトで暗号化したのか言え」と言われたときに、VeraCryptと答えてしまったら、「オマエ、隠しボリュームのほうにも入れてんだろ!」と拷問されるのがオチです。

VeraCryptは、「何回か失敗したらデータを消す」ようなソフトではありません。仮に5回ミスしたら消える仕組みがあったとしても、それを大量にコピーしていけば5回ずつコピー分だけ試せるのです。

VeraCryptのダウンロード

以下のサイトにアクセスします。(2019/4/15現在)
VeraCryptダウンロード ( https://www.veracrypt.fr/en/Downloads.html )

この説明はWindows 10でのものなので、ダウンロードするのは Windows 版です。
Installer または Portable version のどちらでもやることは同じです。
(Installerでも「展開するだけ」が選べますから、Installerのほうが確実ですが。)

ノートPCなどにインストールしてドライブを暗号化したいならInstallerを、USBメモリに展開して利用したいならPortableでよいでしょう。

パソコンにインストールしてドライブを暗号化する方法

前準備

ドライブを暗号化する場合は、空き領域が必要です。
以下は Regacy で作成されたパーティションです。空き領域があります。
(すでにデータが有るドライブを暗号化することも可能ですが、新規に作ることを想定しています。)

ここで、先に、暗号化ドライブを作るためのボリュームを作成しておきます。パーティションを作るだけでけでいいです。

空き領域を選んで、『新しいシンプルボリューム』で作成します。

サイズは作りたいサイズで。今回は20GBにしています。
これはこの記事を書くのにフォーマットと、インストール後の暗号化を短時間で終わらせたかったので小さいサイズにしました。

ドライブレターは割り当てません。

フォーマットもしません。

Installerでのインストール

インストールは、ダウンロードした VeraCrypt Setup 1.23-Hotfix-2.exe を管理者で実行します。(管理者のパスワードを求められるので入力します。)

インストーラーは日本語を選びました。英語で行ける人は英語でもいいし、他の言語でもいいです。

ライセンスはちゃんと読んで(と読まない自分を棚上げするのもなんですが)から、「I accept the license terms」にチェックを入れて「次へ」をクリックします。

今回はインストールするので「インストール」にします。

セットアップオプションはそのままでもいいですが、自分はデフォルトのインストールフォルダを使いたくないので D:\tools\VeraCrypt としました。メニューやデスクトップに置くかは任意で。インストールしていることを、少しでも悟られたくないなら置かないでもいいですが、使いづらいです。バレるまでに時間を稼ぎたいという事情がないなら、置いてもいいでしょう。拡張子を関連付けるかは、ドライブの暗号化だけなら関係ないし、暗号化ボリュームをファイルで作る場合でも拡張子を.hcにしないなら、このチェックはいりませんので外します。
「インストール」をクリックするとインストールが始まります。

寄付は推奨したいところですが、自分はしていません。ごめんなさい。

ユーザーズガイドは見たほうが書かれても、英語だし…

パーティション(ドライブ)の暗号化

デスクトップにある VeraCrypt のアイコンをダブルクリックして起動します。

このままでもいいですが、わかりやすくするために、「Settings」のプルダウンにある「Language」で「日本語」を選びます。

日本語になりました。

「ツール」のプルダウンで「ボリューム作成ウィザード」を選びます。(真ん中辺りにある「ボリューム作成」でも同様です。)

VeraCryptボリューム作成ウィザードが表示されます。ここでのデフォルトは「暗号化されたファイルコンテナを作成」ですが、今回やりたいものは未使用のパーティションを暗号化して新規にりようするので「非システムパーティション/ドライブを暗号化」にチェックをずらします。その上で、「次へ」をクリックします。
管理者のパスワードを聞かれた場合は入力します。

ボリュームタイプは「VeraCrypt標準ボリューム」のままで構いません。
(先述の通り、さらに隠しボリュームを作る意味を感じません。)
「次へ」をクリックします。

ボリュームの位置は、準備した未使用のパーティションを選びます。
「デバイスの選択」をクリックします。

以下の RAW の部分は、\Deveice\Harddisk0\Partition5 に該当します。(これはパソコンのディスク構成によって変わります。)パーティション作成のみでフォーマットもドライブレター付与もやっていないため、「パーティションまたはデバイスの選択」ではドライブレターがついていないことと、作成したときの容量で判断ができるはずです。

そのパーティションを選んで「OK」をクリックします。

ボリュームの位置に値が入るので「次へ」をクリックします。

ボリューム作成モードは「暗号化ボリュームを作成してフォーマット」のままです。(新規に暗号化ボリュームを作る場合=今回の場合。)
「次へ」をクリックします。

暗号化オプションは、そのままで「次へ」を。
(ここを変えたい、変えてその意味がわかるような人は、こんなブログ読んではいないでしょう(笑))

ボリュームのサイズは選べません。(選べなくていいです、「最後はお願いします、はらたいらさんに全部」くらいの気持ちで) 「次へ」をクリックします。

ボリュームのパスワードを指定します。

ここは、必ず、長いパスワードにしてください。単語の連続ではなくて、aを@、sを5にするとか、大文字小文字を混ぜるとか、小細工した上でどっさり、長いのを考えてください。
長いものにすると間違えやすいので、入力している際には「パスワード表示」をチェックして確認もすることを推奨しますが、それを他人に見られることがないという前提です。
パスワードと確認入力があっていれば「次へ」がクリックできるようになるので、できたらクリックします。

「巨大なファイル」については、「いいえ」が選択されていますが、「はい」にしたほうがよいでしょう。今どき4GBで巨大と言うかは疑問ですが、「いいえ」を選ぶ積極的な理由はありません。「次へ」をクリックします。

ボリュームのフォーマットでは、「クィックフォーマット」は選ばず、一度は全部暗号化しましょう。暗号化しようと思うほど大切な情報でしょうから、ディスクのチェックにもなるくらいの気持ちで。
ここでは、このインストーラー上でマウスをちょこちょこ動かして Randomness Collected From Mouse Movements の下のインジケーターが緑になるまで、もしくは、右端まで届くまで、がんばります。画像は緑のところまで行ったので先に進みました。
「フォーマット」をクリックします。

『押すなよ、押すなよ!』メッセージが出るので、新規パーティションで問題がない前提ですから、覚悟を決めて「はい」をクリックします。

フォーマットが始まります。
これはSSDで20GBなので2分程度が示されました。

終了するとダイアログが表示されるので「OK」をクリックします。

ボリュームが作成されましたの画面では、「終了」をクリックします。
(先程の隠しボリュームを作成したい人はもう1周、がんばってください。)

ここまで終わった時点では、それまでと変わらない印象です。
(20GBのパーティションで RAW が消えています。)

暗号化ボリュームの利用

使用する際は、VeraCryptを立ち上げます。

暗号化のパーティションをマウントしたい(つけたい)ドライブレターを選びます。
選んだら「デバイスの選択」をクリックします。

パーティションまたはデバイスの選択が表示されるので、暗号化済みのパーティション(今回の場合は、20GBのPartision5を選んで「OK」をクリックします。

Fドライブが選択され、先程選んだパーティションが表示されているので、「マウント」をクリックします。

パスワードを入力して「OK」をクリックします。

マウントには少々時間がかかります。
パスワードを間違えている場合のほうが待ち時間は長く、その後にエラーが出ます。
ここでは正しいパスワードを入れているので、少しすればマウントされます。

マウントされた場合、選択していたドライブにパーティション、サイズ、暗号化アルゴリズム、タイプが表示されます。

エクスプローラーとディスクの管理を見ると以下のようになっています。

Fドライブは通常のドライブと同じに使えますが、実体は暗号化されたドライブになります。

利用が終わったらVeraCryptの画面で「アンマウント」を実施してください。
パソコンを休止にした場合は、マウントされたままになります。
シャットダウンすればマウントは解除されます。
そのままシャットダウンしても壊れた経験はありません。確実なのはアンマウントでしょう。

アンマウントするとエクスプローラーからFドライブが消えます。

暗号化ファイルを作る方法(USBメモリを暗号化して利用する)

利用するUSBメモリ

USBメモリをパソコンに挿します。
今回はFドライブが割り当てられました。
(先程の暗号化ドライブの説明に出てきたFドライブではありません。)

USBメモリなので、すでにデータが入っています。この状態でも設定や、暗号化ファイルを作成することはできます。
その場合、ここにすでに存在しているファイルは暗号化はされません。追加で暗号化ファイルが作成されます。

Portable版の展開をする

ダウンロードした VeraCrypt Portable 1.23-Hotfix-2.exe をダブルクリックして起動します。

ウィザードは日本語を選びました。英語で行ける人は英語でもいいし、他の言語でもいいです。

ライセンスはちゃんと読んで(と読まない自分を棚上げするのもなんですが)から、「I accept the license terms」にチェックを入れて「次へ」をクリックします。

展開オプションは、利用したいUSBメモリのドライブに変えてください。
その後に「展開」をクリックすると展開が始まります。終わったら「OK」をクリックします。

寄付は推奨したいところですが、自分はしていません。ごめんなさい。

展開が終わったら暗号化ファイルを作成する

展開が終わったら、展開したフォルダに移動して、 VeraCrypt.exe をダブルクリックします。(管理者のパスワードを聞かれるので入力します。)
USBメモリにVeraCrypt本体も入れて、暗号化ファイルごともっていけば、持っていった先のパソコンにVeraCryptをインストールしなくて済みます。

このままでもいいですが、わかりやすくするために、「Settings」のプルダウンにある「Language」で「日本語」を選びます。

日本語になりました。「ツール」のプルダウンで「ボリューム作成ウィザード」を選びます。(真ん中辺りにある「ボリューム作成」でも同様です。)

VeraCryptボリューム作成ウィザードが表示されます。ファイルを作成する場合は、デフォルトの「暗号化されたファイルコンテナを作成」のままでで「次へ」をクリックします。

ボリュームタイプは「VeraCrypt標準ボリューム」のままで構いません。
(先述の通り、さらに隠しボリュームを作る意味を感じません。)
「次へ」をクリックします。

ボリュームの位置は、USBメモリの中に作るファイルなので、「デバイスの選択」をクリックします。

USBメモリの中の作成したいフォルダ(今回はUSBメモリのルート)を選んで、任意のファイル名を入れて「保存」をクリックします。

今回は F:\crypt というファイルが、暗号化するファイルです。ファイルは新規に作成されます。
ボリュームの位置に値が入るので「次へ」をクリックします。

ボリュームのサイズでは、USBメモリの空き容量を上限に、作成したい容量を指定します。今回は5GBにしています。これはこのブログの画像キャプチャのためにさっさと初期の暗号化を終えたいためで、実用的な値にしてください。

ボリュームのパスワードを指定します。

ここは、必ず、長いパスワードにしてください。単語の連続ではなくて、aを@、sを5にするとか、大文字小文字を混ぜるとか、小細工した上でどっさり、長いのを考えてください。
長いものにすると間違えやすいので、入力している際には「パスワード表示」をチェックして確認もすることを推奨しますが、それを他人に見られることがないという前提です。
パスワードと確認入力があっていれば「次へ」がクリックできるようになるので、できたらクリックします。

「巨大なファイル」については、「いいえ」が選択されていますが、「はい」にしたほうがよいでしょう。今どき4GBで巨大と言うかは疑問ですが、「いいえ」を選ぶ積極的な理由はありません。「次へ」をクリックします。

ボリュームのフォーマットでは、「クィックフォーマット」は選ばず、一度は全部暗号化しましょう。暗号化しようと思うほど大切な情報でしょうから、ディスクのチェックにもなるくらいの気持ちで。
ここでは、このインストーラー上でマウスをちょこちょこ動かして Randomness Collected From Mouse Movements の下のインジケーターが緑になるまで、もしくは、右端まで届くまで、がんばります。画像は緑のところまで行ったので先に進みました。
「フォーマット」をクリックします。

フォーマットが始まります。
これはUSB3.0接続とは言え、USBメモリなので5GBでも3分程度が示されました。
(さっきのSSDより遅いです。)

終了するとダイアログが表示されるので「OK」をクリックします。

ボリュームが作成されましたの画面では、「終了」をクリックします。
(先程の隠しボリュームを作成したい人はもう1周、がんばってください。)

USBメモリのFドライブのルートに、cryptというファイルが5GBで作成されています。

暗号化ファイルの利用

使用する際は、VeraCryptを立ち上げます。

暗号化のパーティションをマウントしたい(つけたい)ドライブレターを選びます。
今回はGドライブを選びました。
選んだら「ファイルの選択」をクリックします。

VeraCryptボリュームの選択では、暗号化ファイルを選びます。今回の場合は、USBメモリはFドライブであり、そのルートにcryptの名前で暗号化ファイルがあるため、それを選んで「開く」をクリックします。

Gドライブが選択され、先程選んだF:\cryptが表示されているので、「マウント」をクリックします。

パスワードを入力して「OK」をクリックします。

マウントには少々時間がかかります。
パスワードを間違えている場合のほうが待ち時間は長く、その後にエラーが出ます。
ここでは正しいパスワードを入れているので、少しすればマウントされます。

マウントされた場合、選択していたドライブにファイル名とパス、サイズ、暗号化アルゴリズム、タイプが表示されます。
エクスプローラーとディスクの管理を見ると以下のようになっています。

FドライブはUSBメモリ本体、Gドライブとして暗号化ファイルがマウントされており、このGドライブは通常のドライブと同じに使えますが、実体はFドライブにある暗号化されたファイルになります。

利用が終わったらVeraCryptの画面で「アンマウント」を実施してください。
パソコンを休止にした場合は、マウントされたままになります。
シャットダウンすればマウントは解除されます。
そのままシャットダウンしても壊れた経験はありません。確実なのはアンマウントでしょう。

両方を同時にマウントする

このポータブル版でFドライブにあるcryptをGドライブとしてマウントした状態で、暗号化パーティションとした部分をHドライブとしてマウントすることも可能です。

現場からは以上です。

最近、Windows 10 のゴールデンイメージの情報等書いている心の友ibotyのサイト(砂糖と牛乳)もお薦めです。