Catoクラウドのクライアントソフトに、待望のAnti Tampering機能が実装されます!
この機能追加により、ユーザによるCatoクライアントのプロセス停止やアンインストールを禁止できます。
本記事では、Anti Tamperingの概要と、動作確認の結果をご紹介します。
Anti Tampering(改ざん防止)とは
Anti Tamperingは「改ざん防止機能」と訳され、通信・セキュリティ系のソフトウェアに搭載されることの多い機能です。
悪意ある侵入者やマルウェアは、自分の動作を検知されることを避けるため、端末の管理者権限を取得し、ソフトウェアの設定を変えたり、ソフトウェア自体を終了させたり、ログを削除・改ざんしたりします。これを防ぐため、端末の管理者権限を持っていても、ソフトウェアの終了や関連ファイルの書き換えを許可しないのがAnti Tampering機能です。
今回、Catoクライアントにこの機能が追加されたことにより、Catoクラウドがよりセキュアなサービスになったと言えます。
CatoクラウドのAnti Tampering機能について
CatoクラウドにおけるAnti Tampering機能は、2025/3/18現在、以下の内容となっています。
- 対象: Windowsクライアント バージョン5.14以上で対応
- 現状はWindowsのみですが、将来的にmacOSクライアントにも実装予定です
- 制限できる内容
- Catoクライアントのアンインストールをさせない
- CatoVPNのプロセス停止をさせない
- Catoクライアントの動作に影響するレジストリの変更をさせない
- インストールフォルダ内のファイル削除・変更をさせない (ログファイル・設定ファイル等の保護)
詳細については、以下のCato Knowledge Baseをご参照ください。
Cato KnowledgeBase | Working with Anti-Tampering for the Cato Client
それでは、どのように設定を行うのか、また本当に上記を制限できているのか等、検証した内容をご紹介します。
Anti Tamperingの設定方法
Cato管理画面(CMA)側の設定
Anti Tamperingの利用には、まず機能を有効化する必要があります。Anti TamperingはAlways-On(常時接続)機能の追加機能となっており、Cato管理画面(CMA)の「Always-On Policy」の箇所にて設定します。
以下がルールの設定例です。
対象としたいユーザ・OS等を指定して、Always-Onを有効にすると、Anti Tamperingの設定項目が選択できるようになります。こちらをEnabledにすることで、Anti Tamperingが有効になります。
なお、Always-On Policy自体の使用や設定方法については、以下の記事にて詳細をご紹介しておりますので、ご参照ください。
クライアント側での確認
CMAを設定後、Catoクライアントを接続し10分程度置くと、Cato側からクライアントへ設定内容が反映されます。
CatoクライアントのStatsにて、Anti-Tamper Protectionの欄が「Enforced(Protect)」となっていれば、Anti Tamperingが適用されています。
※この項目自体が表示されない場合は、Windowsクライアントのバージョンが古いため、5.14以上にアップグレードしてください。
本当に停止できないのか検証
Anti Tamperingが有効な状態で本当にクライアントを停止できないのか、実際に検証してみました。もちろんWindows端末のAdministratorで試しています。
アンインストール
Anti Tamperで保護されている旨のエラーが表示され、アンインストールできません。Catoクライアントのアンインストーラーでも、設定>アプリからのアンインストールでも、MsiExec.exeを使ったコマンドライン操作でも、同じエラーとなります
プロセス・サービス停止
タスクマネージャのプロセスから、「CatoClient」をタスク終了してみますと、終了でき、Catoクライアントのアプリが表示されなくなります。
しかしながら、Catoの接続は切断されず、接続されたままです。サービスを確認すると「CatoNetworksVPNService」が実行中となっており、接続が維持されていることが確認できます。
このサービスを停止しようとすると下記のエラーとなります。このためCatoへの通信を切断することはできません。また、サービスを無効化することもできません。
レジストリ変更
Catoクライアントの実行に関連するレジストリキーを変更や削除しようとすると、エラーとなり、レジストリ変更ができません。このため、レジストリ操作でCato接続を停止することはできません。
実行ファイル・ログファイル等の削除・改ざん
Catoクライアントの実行ファイルや各種ログがあるフォルダにて、ファイルを変更や削除しようとすると、エラーとなり、ファイル編集できません。これにより、Cato接続を動作不能にしたり、ログファイルを改ざんすることはできません。
ネットワークアダプタの停止
Cato Networks VPN Adapterを無効化してみました。無効化はできますが、Catoへの通信は切断されません。メトリック値を変えてみたりもしましたが、通信には影響せず、Catoを迂回することはできませんでした。
以上、思いつく限りの手段を試してみましたが、Anti Tamperingが有効な状態で、Catoを無効化し通信迂回することはできませんでした。
他に試せそうなことがありましたら、ぜひ検証いただければと思います。
アンインストールしたいときはどうするか
では、運用上の事由などで、どうしてもAnti Tamperingを回避したいときはどうしたらいいのでしょうか。
まず、一時的にCatoの通信を切断したいだけで、クライアントのアンインストールは不要な場合、Always-Onを一時的にBypassし通信を切断することが可能です。Always-OnのBypass方法については、以下のCato Knowledge Base をご参照ください。
Cato Knowledge Base | Temporarily Bypassing Secured Internet Access
次に、クライアントをアンインストールしたい場合は、以下いずれかの方法で可能です。
- Always-On Policyにて対象ユーザに対するAnti Tamperingを解除した上でアンインストールする
- Anti-Tamper Bypassを使用し、一時的にAnti Tamperingを解除した上でアンインストールする
このうち、Anti-Tamper Bypassについては少しわかりづらいため、以下に詳細をご説明します。
Anti-Tamper Bypass
Anti Tamperingを一時的に無効化する機能です。
1. Always-On Policyの「Settings」にある、「Show anti tamper bypass code」を開くと6桁の数字が表示されます。このコードには有効期限があり、コードの下に表示される時間の間のみ有効です。
2. 無効化したいCatoクライアントの「Settings」を開き、「Ctrl+Shift+O」を押すと、「Anti-Tamper Bypass」の入力欄が表示されます。
3. 1のコードを2に入力して「Submit」すると、一時的にAnti Tamperingが無効化され、アンインストール等が可能となります。
なお、無効となる時間の長さは、Always-On Policyのルールにて設定可能です。
最後に
Anti Tamperingは、ユーザの意図しないアンインストールなどを防ぐため、多くのお客様からご要望をいただいていた機能です。
ユーザの通信保護に大きく寄与する機能ですので、ぜひご検証の上、ご活用いただければ幸いです。