VeraCrypt を使えば Windows 10 Home でもシステムドライブを暗号化できるが,問題もある

  • 記録

Windows 10 Home では BitLocker によるシステムドライブ暗号化を利用することができない。同じプロダクトでも SKU により機能に互換性がないという結果を招き,ユーザに不便を強いている。

パスワードやアクセス制御をかけたところで,ドライブを別のマシンに接続するだけで,誰でも簡単に内容を見ることができてしまう。次善の策としてデバイスのハードウェア暗号化機能の利用を検討することになるが,対応するハードウェアはかなり限られ,そもそもセキュアでもない。つい最近も,デバッグ用ポートにアクセスすることで Samsung や Crucial といったメジャーなブランドの SSD のハードウェア暗号化をバイパスできる脆弱性が明らかになったばかりだ。

余ったパーツでゲーム専用の Windows マシンをでっち上げていた私は困ってしまった。Bitlocker は使えないし,SSD はハードウェア暗号化に対応していないし,TPM もないようである。もちろん,Windows を使っている時点でプライバシもヘッタクレもないので,あきらめてノーガード戦法で行くということも考えられる。しかし,暗号化されていないシステムを使うのは道端に落ちているものを拾って食べるようなもので,とても正気ではできることではない。そこでウイスキーで脳にパッチを当ててから環境構築しようと思ったものの,残念ながらウイスキーを切らしていたので,仕方がないのでほかの選択肢を模索することにした。

さて,結論としては,Windows 10 Home でシステムを暗号化する手段は存在する。Windows 標準の機能では実現できないにせよ,サードパーティのソフトにはそうした機能に対応したものもあるのだ。

私が選択したのは VeraCrypt である。TrueCrypt フォークのひとつで,もっともよくメンテナンスされている。ユーザが比較的多いことから,バグや OS アップデートに伴う非互換性も洗い出されやすい。VeraCrypt ≒ TrueCrypt のフルディスク暗号化 (FDE) 機能は Windows XP の頃から使われていたもので,長年の実績もある。議論のある Bitlocker のシステム暗号化機能と異なり FDE と呼んで差し支えないローレベルの暗号化であるので,セキュリティ面でも Bitlocker よりむしろ上かもしれない。

導入は非常に簡単であり,丁寧なウィザードに従うだけであった。コンピュータに不慣れな人はドライブの暗号化を利用するべきではないので,ここでは細かく手順を説明することはしない。

ただし,重大な問題点もある。

最大の問題は、自動再起動した場合に、OS が起動する前の VeraCrypt のパスワード入力画面で止まってしまうことである。電気の無駄遣いであるのはもちろん,省電力機能が正常に動作することを前提とする排熱の弱いハードウェアでは破壊される危険性もあるし,悪くすると火災の原因にもなる。

また,復号は Windows の起動に先立ってとても小さなプログラムだけロードされた状態でおこなわれるので,タッチパネルのオンスクリーンキーボードや Bluetooth キーボードなど BIOS / UEFI の時点で利用可能にならない入力手段しかない場合はパスワードを入力できない。

しかし,これらの問題点を考慮してもなお,知っておいて損はない方法である。

Share:

コメントを残す

投稿にあたり,完全な IP アドレスが保存されます(公開されません)。

コメントは承認後に公開されます。コメントの内容はスパムフィルタで処理されます。