TrueCrypt で USB メモリをまるごと暗号化する

セキュリティ

USB メモリに大事なデータを入れて持ち歩きたいときってありますけど、もし落としたときにそのまま中身が見れてしまうのは不安です。

そこで TrueCrypt というソフトを使って USB メモリを暗号化してみることにしました。


USB メモリは扱いやすいのが魅力ですけど、うっかり紛失してしまうかもしれないところが心配です。

せめてパスワードでロックがかけてあれば、落としたときでもそのままよりは安心です。そこでTrueCrypt というソフトウェアを使って USB メモリ全体を暗号化してみることにしました。

暗号化した USB メモリを使うときには、Mac や Windows でマウントするときにパスワードが必要になります。

USB メモリの暗号化にあたって

ドライブ全体の暗号化といえば、Windows なら BitLocker が、OS X なら FileVault があるようですが、どちらも OS に依存していて、読み書きするにはログインアカウントが必要になってくるようです。

ログインアカウントを使うのが安全性としては高いのでしょうけど、そうなると複数箇所から見たいときに共通のログインアカウントが使える環境を整える必要があったり、ログインアカウントを失わないように OS のシステムバックアップが不可欠になったりしそうです。

USB メモリを持ち歩いて外で使うとなると必ずしも自分の PC で使うとも限らないですし、紛失したときに備えてロックをかけたいという用途にしては運用の負担が大きいように思います。

また、BitLocker か FileVault かのどちらかを使うと、Windows と Mac のどちらかでしか使えないのも勝手が悪そうです。

TrueCrypt

そこで今回は、かねてから存在を耳にしていた TrueCrypt という暗号化ソフトを使ってみることにしました。Windows と Mac の両方に対応しているドライブ暗号化ソフトです。

最初のインストールと暗号化ドライブの準備手順が難しそうに見えますが、一回やってしまえばそれほど難しいものでもないのが分かります。

使うときも TrueCrypt でマウントする暗号化ドライブを選択してマウントボタンを押して、作成時に設定したパスワードを入力する手間さえありますが、それさえ終われば普段のドライブと全く同じに扱えるので、気軽にデータを保護できます。

開発終了…?

しかし、さっそくTrueCrypt の Web サイトを訪れてみると、見るからになにやら怪しげなページが表示されました。

どうやら開発者が開発を止めて、このようなページが表示されているようです。

そして、有志によって引き継がれた TrueCrypt がTCnext - Site dedicated to the next "truecrypt" で公開されている様子でした。

どちらともなんとなく怪しい感じがするのですが、いろいろ調べてみると同じように疑っている人がチラホラいらして、どうやら本当にそんな経緯のようです。

確証までは得られませんが、今回は手軽にパスワードがかけられれば良かったのと、もしも暗号化という面でセキュリティ上のリスクがあっても自分の用途ではそれほど問題にならなそうなのもあって、今回は TrueCrypt を使ってみることにしました。

公開されているバージョン

現在、本来の Web ページで公開されているバージョンは "7.2" になりますが、このバージョンは作成済みの暗号化ドライブをマウントするだけの機能が実装されたバージョンになるようです。

そして有志によって運営された Web ページでは "7.1a" というバージョンが公開されていて、こちらが暗号化ドライブの作成機能も含むフルバージョンになるようでした。


このような開発中止や有志による引き継ぎといった不安定とも言える情勢の中で、ひとまず読み取り機能だけでも公式に提供されているところはひとつの安心材料かもしれませんね。

TrueCrypt をインストールする

それでは、今回は OS X 10.10.2 に TrueCrypt をインストールして使ってみることにします。

TrueCrypt のダウンロード

まずは、有志が運営する方のサイトにあるDownloads - TCnext から、TrueCrypt をダウンロードします。

ここから MacOS X 用の dmg ファイルをダウンロードして開くと、次のようなダイアログが表示されました。

ライセンス条項に同意してAcceptボタン を押すと dmg ファイルがマウントされます。

パッケージからのインストールは失敗…

マウントされたディスクの中から "TrueCrypt 7.1a.mpkg" パッケージファイルを右クリックして開く を選択してインストールしようとしたのですが、次のような画面になってインストールできませんでした。

画面には "TrueCrypt requires Mac OS X 10.4 or later." と記されていて、今回は OS X 10.10 なので問題ないと思うのですが、もしかして "10.4" と "10.10" とを辞書的に比較していたりするのかもしれません…。

パッケージ内からインストーラーを実行する

そこで、パッケージ内からインストーラーを起動してみることにしたところ、インストールを進めることができました。


マウントされたディスクの "TrueCrypt 7.1a.mpkg" パッケージファイルを右クリックしてパッケージの内容を表示 を選択すると、パッケージ内にあるフォルダーを辿れるようになります。

ここでContentsPackages と辿ると、いくつかのパッケージファイルが格納されています。

ここのすべてのパッケージをインストールすることで、OS X 10.10.2 でも TrueCrypt を使えるようになりました。

実行するインストーラーの個数と進める手順はそこそこ長いのですけど、表示される通りに進めて行けばどれも問題なくインストールできる感じでした。特に MacFUSE のインストールでは赤いドライブアイコンが表示されたりして少し驚きますが、普通に進めて問題なさそうです。

インストール成功

TrueCrypt のインストールが終わったら、暗号化ドライブを作成したり、それをマウントして読み書きしたりできます。

TrueCrypt で暗号化ドライブを作成する

TrueCrypt で暗号化ドライブを使うには、まずは暗号化ドライブを作成しておく必要があります。

暗号化ドライブは、好きなフォルダーに普通のファイルとして保存できる形式のものと、USB ドライブなどのパーティションをそのまままるごと使う形式のものとがあります。

それらを必要なだけ作成して、同時にいくつもマウントできます。

暗号化ドライブの種類を選択する

TrueCrypt の左側中段あたりにあるCreate Volumeボタン をクリックすると、暗号化ドライブの作成画面が表示されます。

ここでは次の中から、作成する暗号化ドライブの種類を選択します。

種類 内容
Create an encrypted file container 普通のファイルをひとつ作成して、それを暗号化ドライブとしてマウントできるようにします。
Create a volume within a partition/drive USB メモリやハードディスクのパーティションをまるごと初期化して、暗号化ドライブとしてマウントできるようにします。

今回は USB メモリを暗号化したかったので、Create a volume within a partition/drive を選択してNext >ボタン を押しました。

暗号化の施し方を選択する

そして次の画面では、どのような暗号化ドライブを作成するかの選択です。

種類 内容
Standard TrueCrypt volume パスワードで保護された標準の暗号化ドライブを作成します。
Hidden TrueCrypt volume 2つのドライブがそれぞれ別のパスワードで開けるようにする暗号化ドライブだそうです。

今回は標準のStandard TrueCrypt volume を作成することにします。

ちなみにもうひとつのHidden TrueCrypt volume というのは、ひとつの暗号化ドライブに2つのパスワードを設定して、それぞれで別の内容を見せるという機能だそうです。

重要度の高い情報を片側に入れておき、脅されてパスワードを教えないといけないシチュエーションになったらもう片方のパスワードを教えることで機密を守る機能なのだとか…。こういう発想、なんか好きです。

暗号化ドライブとして使うパーティションを選択する

次へ進むと、暗号化ドライブとして初期化するパーティションを選択する画面になります。

ここの右側にあるSelect Device...ボタン を押すと OS X の管理者パスワードを尋ねられるので入力すると、一覧からパーティションを選択できるようになります。

今回は USB メモリ上に作成されているパーティションを選択することにしました。

容量やラベル名を頼りに USB メモリ上のパーティションを選択します。そしてOKボタン を押すと、パーティションを選択できました。

暗号化ドライブを生成する

パーティションを選択したらNext >ボタン を押して、暗号化ドライブの初期化を行います。

このとき、選択したパーティション内のデータはすべて消去される旨のメッセージが表示されるので、それで問題なければYesボタン を押して次に進みます。

暗号化方法の選択

そうすると、続いて暗号化の方法を尋ねられます。

ここは詳しいことは分かりませんけど、既定の設定で大丈夫でしょう。必要であれば調整してからNext >ボタン をクリックして先に進みます。

マウント時に入力するパスワードの設定

そして、暗号化ドライブをマウントするときに使うパスワードを設定します。

ここで 20 文字以上のパスワードを設定しないとWARNING: Short passwords are easy to crack using brute force techniques! Are you sure you want to use a short password? という警告メッセージが表示されますが、設定することはできるので、都合の良い長さのパスワードを設定すると良いでしょう。

暗号化ドライブの初期化方法を指定

あとは、暗号化ドライブの初期化方法を指定します。

まずは、暗号化ドライブ内に、ひとつで 4GB を超えるサイズのファイルを保存できるようにするかの選択です。

ひとつのファイルで 4GB を超えるものを保存できるようにすると、少し前のコンピューターと互換性があるか心配だったので、今回はI will not store files larger than 4 GB on the volume を選択して次へ進んでおくことにしました。

そして、ファイルシステムの選択です。

今回は Windows と Mac のどちらでも使いたかったので、いちばん汎用性のあるFAT ファイルシステムを選択しておくことにしました。

暗号化ドライブの初期化を実行

これで、初期化の準備が整いました。いよいよ暗号化ドライブの初期化です。

ダイアログボックス内のRandom Pool: のところでなにやら値が次々と変わっていってて、処理が進んでいるかのように思ってしまいますが、この段階ではまだ初期化処理は始まっていません。

初期化処理を進めるには、ここのFormatボタン を押します。そうするとディスクの内容が消去される旨の最終警告メッセージが表示されます。

ここでYesボタン を押すことで、暗号化ドライブの初期化が開始されます。

あとはディスクの初期化が完了するのを待ちます。

自分の環境では 8GB の USB 2.0 メモリを初期化するのに 20 分くらいかかりました。

初期化が終わると上のようなダイアログボックスが表示されるのでOKボタン を押して閉じれば、これで暗号化ドライブの作成は完了です。

あとはExitボタン を押して、ダイアログを閉じます。

暗号化ドライブをマウントする

作成した暗号化ドライブは、マウントすることで普通のドライブと同じ感覚で使えるようになります。

大まかな手順としては、順番はどちらでも構わないのですが、まずはマウントするスロットと、そこにマウントする暗号化ドライブを選択します。

その上でMountボタン を押して、暗号化ドライブを利用できるようにします。

スロットを選択する

スロットの選択は、上側のリストから空いているSlot を選択します。

スロットは OS X では単なる便宜上のリストみたいな感じですが、Windows ではZ: みたいな、どのドライブ名に暗号化ドライブを割り当てるかを選択する機能を担う様子です。

スロットを選択し忘れてたまま暗号化ドライブをマウントしようとするとPlease select a free drive slot from the list. という通知メッセージが表示されます。

暗号化ドライブを選択する

暗号化ドライブは、右下側にあるSelect File...ボタン またはSelect Device...ボタン から行います。

ボタン 内容
Select File... 普通のファイル形式で作成した暗号化ドライブを選択するのに使います。
Select Device... パーティションをまるごと暗号化ドライブとして作成してあるときに、それを選択するのに使います。

今回は USB メモリ内のパーティション全体に暗号化ドライブを作成したのでSelect Device...ボタン を選択します。

ディスク容量くらいしか目安になるものがないので選びにくいですが、暗号化ドライブを作成したパーティションを選択してOKボタン を押すと、そのパーティションへのパスがマウント候補としてフィールドに入力されます。

このフィールドの下にあるNever save history というのは、今回選択した暗号化ドライブを、フィールドの右側にあるプルダウンから選択できるようにしたいときにチェックを外しておきます。普通のファイルを暗号化ドライブにしたときのように場所が固定されるものには便利ですが、USB メモリの場合は刺す場所などによってパスが変わるようなので、あまり助けにならないかもしれません。また、ここのチェックを再び入れるとその時点でプルダウンのリストがクリアされる様子でした。

暗号化ドライブをマウントする

スロットと暗号化ドライブを選択したら、左下にあるMountボタン を押すと、暗号化ドライブを作成したときに設定したパスワードを尋ねられます。

パスワードを入力してOKボタン を押せば、暗号化ドライブがマウントされて、通常のドライブと同じ操作で読み書きできるようになります。

ここでIncorrect password or not a TrueCrypt volume. と表示された場合は、入力したパスワードを間違えたか、そもそも暗号化ドライブではないパーティションやファイルを選択している可能性があります。

暗号化ドライブがマウントされている期間

暗号化ドライブは TrueCrypt が起動中の間だけマウントされています。TrueCrypt を終了させると暗号化ドライブもアンマウントされるので、使用中は TrueCrypt を起動し続けておく必要があります。

また、OS X を再起動した時には自動ではマウントできない様子なので、必要なときに手動でマウントする必要があります。なんとなく手間のようにも思えますけど、暗号化で保護という性質上、いつの間にか使えるようになっていても問題なので、全体で見れば妥当ですね。