Microsoft IIS 5.0 のセキュリティバグ(WebDAV 機能)

Microsoft IIS 5.0 のセキュリティバグ(WebDAV 機能) 60

ストーリー by wakatono 2003年03月18日 23時54分
DAVが悪いわけじゃないんだよぉ部門より

Anonymous Coward曰く、 "Windows 2000系のOSで使用されているMicrosoft IIS 5.0 のWebDAV 機能にバッファオーバーフローのセキュリティバグが発見されたようです。リモートから IIS を実行しているユーザの権限 (標準で LocalSystem) を取得される可能性があるようです。（CERT Advisory,JPCERT/CCからの警告,ZDNetの記事）"

"対策ですが、以下のとおり。

パッチ(hotfix)の適応
WebDAV 機能の無効化やバッファサイズに制限をかける

また、Microsoftのページでは、当該HotfixがWindows Updateでパッチ適用ができるマークがついていますが、Windows 2000 のSP2 または SP3 があたっていることが前提になっていることもあり、環境によってはWindows Updateで適用できません。このHotfix自体はSP4に収録予定とのことです。（日本語版Hotfixのダウンロードページ）"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索60コメント Log In/Create an Account

パッチ適用でクラッシュ (スコア:4, 参考になる)

by flux (962) on 2003年03月19日 13時19分 (#282369)

パッチの適用でIISが起動しなくなる/クラッシュする場合があるようです。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20030318_ms03-007

私はWindowsUpdateで適用したのですが、IISは見事に起動しなくなりました。
とほほほ。;-)

--
--flux
- MS03-007 が改訂されています (スコア:2, 参考になる)
  
  by kjm (1606) on 2003年03月19日 14時47分 (#282415) ホームページ
  
  「警告」が追加されています。Windows 2000 SP2 の場合、特定バージョンの ntoskrnl.exe で Stop 0x00000071 になるそうです。Windows 2000 SP3 ではそのような問題はないようです。
  MS03-007 [microsoft.com]
  
  シェア
  
  親コメント
- Re:パッチ適用でクラッシュ (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2003年03月19日 20時31分 (#282560)
  
  IISが起動しないということは、取り合えずセキュリティ上の問題は回避できたわけだ。
  
  シェア
  
  親コメント
- Re:パッチ適用でクラッシュ (スコア:0, 余計なもの)
  
  by Anonymous Coward
  
  SP3適用して無い人がセキュリティを語るスレはここですか？
- Re:パッチ適用でクラッシュ (スコア:0)
  
  by Anonymous Coward
  
  とほほになってる人に「おもしろおかしい」というモデレートはいかがなものかと＞M1
DisableWebDAV (スコア:2, 参考になる)

by highness (849) on 2003年03月20日 10時04分 (#282857) ホームページ日記

私はWindows2000+IIS5.0でWebDAVを使わない場合、
(使わない場合のほうが多いと思いますけど)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters]に
値の名前 : DisableWebDAV
データ型 : DWORD
値のデータ : 1
を必ず設定します。
#根本的な解決策ではないけど

そのままWebDAV動いているIISって多いんでしょうか...
- 「使ってないけど、動いてます」 (スコア:0)
  
  by Anonymous Coward
  
  昨日、仕方がないので部内のメンバに「パッチ当ててね」コールをしました。
  みなさん「そんなもん、使ってないよ」、うちの部署は事務関係が中心で時々ＳＥだし、と思ってたんですよ。
  ある１人が「使ってないです。デモに使うことがあるんで、IISはノートパソコンに入れてありますけど、そういう時は独立したネ
不謹慎ですが (スコア:1, すばらしい洞察)

by Anonymous Coward on 2003年03月19日 10時08分 (#282218)

部門名に笑ってしまいました。wakatono 氏の心の叫びだなぁと。

IIS で DAV なんて挑戦的なことはしてないのでそんなこと言ってられるんですが。
WebDAVって (スコア:1, おもしろおかしい)

by Anonymous Coward on 2003年03月19日 11時39分 (#282287)

Web-based Distributed Authoring and Vulnerability ? ;-)
IIS使っていなくても (スコア:1)

by mexico_man (7434) on 2003年03月28日 11時56分 (#288364)

パッチを適用する必要があるみたいです。 http://www.lac.co.jp/security/intelligence/SNSSpiffy/5.html [lac.co.jp]
わりと緊急を要するようで (スコア:0)

by Anonymous Coward on 2003年03月19日 2時43分 (#282075)

複数のソースから情報が来ますと、状況が把握しやすいので
このような投稿は歓迎です。MSからは昨日メールがきました。

# 私はIISは飼ってないので自分自身の情報が遅いかもですが^^;
- 実際に悪用されて発覚 (スコア:4, 参考になる)
  
  by Crisp (10852) on 2003年03月19日 2時51分 (#282080)
  
  これは本当に緊急を要するようです。既に攻撃用ツールが存在し、実際に攻撃があって発覚 [zdnet.co.jp]したようです。
  
  # タレコミ文のZDNetへのリンクはURLが間違っています。
  
  シェア
  
  親コメント
  - 「ある顧客」って、米国陸軍らしい (スコア:3, 参考になる)
    
    by nyaonyao (7735) on 2003年03月19日 9時27分 (#282194)
    
    IT Proのここ [nikkeibp.co.jp]。
    
    シェア
    
    親コメント
    - なるほど (スコア:1)
      
      by sinbo (5231) on 2003年03月20日 7時31分 (#282798)
      
      だからFBIからの情報がここ [cyberpolice.go.jp]にあるのかな。
      
      --
      ---- sinbo
      
      シェア
      
      親コメント
不謹慎ですが (スコア:0)

by Anonymous Coward on 2003年03月19日 9時41分 (#282201)

DAV の RFC はマイクロソフトによると聞いていますが、RFC そのものがバグっていたのではないですよね？
- Re:不謹慎ですが (スコア:1)
  
  by nobuhiro (5244) on 2003年03月19日 11時30分 (#282276) ホームページ
  
  CERT の文書を読む限りとバッファオバーフローの脆弱性ですから、この問題自体は RFC のバグとかではないでしょう。
  
  --
  の
  
  シェア
  
  親コメント
WebDAV 使ってる人いますか？ (スコア:0)

by Anonymous Coward on 2003年03月19日 10時38分 (#282235)

性善説サーバ [dyndns.org]で mod_dav 使ってファイルアップロードサービスやってた人いましたが、他におもしろい使い方してるひとはいますか？
バッファオーバーフローについて（識者に質問） (スコア:0)

by Anonymous Coward on 2003年03月19日 18時24分 (#282517)

プログラムの基本として、全てのバッファに対してオーバーフロー等が生じないようにコーディングするのが普通だと思うのですが、なぜこんなに、次から次に不具合が見つかるのでしょうか？
- Re:バッファオーバーフローについて（識者に質問） (スコア:1)
  
  by jbeef (1278) on 2003年03月19日 23時38分 (#282652) 日記
  
  プログラムの基本として、全てのバッファに対して...
  少なくとも文字列処理について言えば、そもそも自前でバッファを確保して使おうなどとするのが、時代遅れで、無粋で、効率の悪いプログラミングスタイルでしょう。別途入念に作られた汎用文字列操作ライブラリを使うことを考えてみるべきです。
  そうした汎用ライブラリを使うと、文字列格納のためのメモリがヒープ領域にとられ、文字列を連結したりするたびにデータのコピーが発生することになりがちなため、昔気質のプログラマは、実行性能が悪くなること危惧するのかもしれませんが、本当にその部分の遅さがシステムの性能に影響を及ぼすほどのものなのかを考えてみて欲しいところです。（もちろん性能に影響を及ぼす部分はチューニングのため注意深くバッファを操作するのでしょう。）
  
  シェア
  
  親コメント
  - とは言ってもね… (スコア:0)
    
    by Anonymous Coward
    
    C/C++用の入念に作られた汎用文字列操作ライブラリ
    なんて知りませんがな。
    
    無学なモンで、Win上で使える汎用文字列操作ライブラリっつーたら、
    STLのbasic_string (ロケール対応が貧弱) か
    MFCのCString (色々貧弱) しか思いつきません。
    
    …きっと素晴らしいライブラリを教えてくれるんだろうと願いつつ。
    - Re:とは言ってもね… (スコア:1)
      
      by jbeef (1278) on 2003年03月20日 2時54分 (#282751) 日記
      
      高機能である必要はありませんし、また、自分で（自プロジェクト内で）作るのでもよいです。そこだけ入念に作るわけです。それによってミスの頻度を減らせるでしょうという簡単な話をしているだけです。それすら行われておらず、そこら中に char buf[1024] などというコードが散乱していることが多い、というのが現状ではないでしょうか。
      
      シェア
      
      親コメント
      - Re:とは言ってもね… (スコア:0)
        
        by Anonymous Coward
        
        それすら行われておらず、そこら中に char buf[1024] などというコードが散乱していることが多い、というのが現状
        固定長バッファが使われること自体は、バッファオーバーフローの引き起こされ易さと何の関係もない。
        
        Re:とは言ってもね… (スコア:1)
        
        by miri (12057) on 2003年03月20日 15時01分 (#283059) 日記
        
        可変長に書いてバッファの長さを意識するようになるだけでもかなりバグが減りそうな気がするが。
        
        コード中のバッファオーバーフローの可能性のある箇所を列挙するようなプログラムってないんですかね。
        
        シェア
        
        親コメント
        
        Re:とは言ってもね… (スコア:1)
        
        by jbeef (1278) on 2003年03月21日 15時41分 (#283686) 日記
        
        固定長バッファが使われること自体は、バッファオーバーフローの引き起こされ易さと何の関係もない。
        「何の関係もない」という日本語の使い方が間違っていませんか？「固定長バッファを使っていてもバッファオーバーフローしないコードにすることはできる」ならばその通りですが、そのことについてこのスレッドの元のコメント者は「生じないようにコーディングするのが普通だと思うのですが、なぜこんなに、...」と述べています。
        
        シェア
        
        親コメント
        
        Re:とは言ってもね… (スコア:1)
        
        by jbeef (1278) on 2003年03月21日 16時34分 (#283712) 日記
        
        「なのになぜこんなに？」という質問です。それに対しあなたは
        その質問に対しては他の方から「完全な人間なんていないから」というある種の根源的な回答が既に出ていましたから、私は、別の観点からの解決法として、そもそも「バッファを自前で用意しない」という話を持ち出しました。その流れで、「そこら中に char buf[1024] などというコードが散乱していることが多い、というのが現状」と発言したものです。
        実際オーバーフローが起きる原因としてバッファが固定長であるかどうかなどは全く関係がない、と指摘しただけです。可変長でも固定長でもオーバーフローが起きるコードは書けるし、オーバーフローを起こさないようなコードも書ける訳ですから。
        全く関係なくはありませんね。頻度について議論しているのですから。
        
        シェア
        
        親コメント
        
        Re:とは言ってもね… (スコア:1)
        
        by jbeef (1278) on 2003年03月22日 18時05分 (#284211) 日記
        
        頻度から言えば固定長でバッファオーバーフローしないコードの方が圧倒的多数だと思いますが？
        それが何か？問題のないコードの絶対数を出して何か意味があるのですか？
        単に固定長のプログラムが多いから、
        まさに自前でその都度バッファを確保して自力で操作するようなコードが多いということですね。それだけにミスが絶えないと。だから、「別途入念に作られた汎用文字列操作ライブラリを使うことを考えてみるべきです」と述べたのですが。まだわかりませんか？
        
        シェア
        
        親コメント
    - Re:とは言ってもね… (スコア:0)
      
      by Anonymous Coward
      
      >C/C++用の入念に作られた汎用文字列操作ライブラリ
      >なんて知りませんがな。
      入念かどうか、汎用かどうかは別としてD.J.Bernsteinのおっさんみたいに
      人のライブラリを基本的に利用せずに書くっていうポリシもありますね。
      
      #私はそのポリシって好きではないですけど。
  - Re:バッファオーバーフローについて（識者に質問） (スコア:0)
    
    by Anonymous Coward
    
    あんたマトモなデーモンとか書いたこと無いだろ。
    練習として作ってみましたとかいうオモチャじゃなくて、毎日何万アクセスも受けて365日何年も動き続ける事を前提としたヤツ。
    文字列処理のためにいちいちヒープ取ってやってたら、メモリのスラシングが起きてコピー回数云々とかと比べ物にならない性能低下が発生する。
    ガベージコレクションすればいいって？
    あんなもんは「ゴミ撒き散らしても後で掃除しとけば文句ないんだろう」という下品でだらしない発想の元に用意されたフールプルーフ（バカ避け）機能でしかない。
    実際ガベージコレクションが使われているのはB
    - Re:バッファオーバーフローについて（識者に質問） (スコア:1)
      
      by yuno (5162) on 2003年03月20日 10時06分 (#282860) 日記
      
      オフトピだけど。
      
      >毎日何万アクセスも受けて365日何年も動き続ける事を前提としたヤツ。
      こんなWindows環境が欲しい！ってちょっと思っちゃった:-)
      
      --
      -- yuno
      
      シェア
      
      親コメント
    - Re:バッファオーバーフローについて（識者に質問） (スコア:1)
      
      by t-wata (10969) on 2003年03月23日 1時00分 (#284393) 日記
      
      きっと自分と同等以上の能力をメンバ全員に要求する人なんだろうな。
      プロジェクトや、プログラムの規模が大きくなると、バッファオーバーフローの知識を十分に持っているプログラマだけでメンバを構成することが不可能になると思うが。
      
      シェア
      
      親コメント
    - Re:バッファオーバーフローについて（識者に質問） (スコア:0)
      
      by Anonymous Coward
      
      ひとつ確実に言えるのは、すぐにカッカしてしまう人間に慎重なプログラミングなんて無理ってことだろうな:-)
      - Re:バッファオーバーフローについて（識者に質問） (スコア:0)
        
        by Anonymous Coward
        
        コメント書いてる時間が時間なので、きっと「まともなデーモン」を書いている最中に
        bugが取れなくって徹夜でもしてあせっているんでしょう。
    - Re:バッファオーバーフローについて（識者に質問） (スコア:0)
      
      by Anonymous Coward
      
      煽り返しって・・・煽りになっていないやん。
      煽りってのは正論が含まれてナイト。
    - フツーの人はそんなこと言わない (スコア:0)
      
      by Anonymous Coward
      
      あんたマトモなデーモンとか書いたこと無いだろ。
      練習として作ってみましたとかいうオモチャじゃなくて、毎日何万アクセスも受けて365日何年も動き続ける事を前提としたヤツ。
      文字列処理のためにいちいちヒープ取ってやってたら、メモリのスラシングが起きてコピー回数云々とかと比べ物にならない性能低下が発生する。
      なるほど、では文字列を含むほとんどのメモリ管理をヒープ（pool）で行うApacheも練習用として作ってみましたとかいうオ
      - Re:フツーの人はそんなこと言わない (スコア:0)
        
        by Anonymous Coward
        
        直接ヒープを利用する訳じゃなく、要求が厳しければ、
        スラッシングや処理効率などの心配が在るからメモリアロケータ
        をオーバーライドして使うのが普通だと思ふ。
        Apacheも、そうしていると思うけど？・・・
  - - Re:バッファオーバーフローについて（識者に質問） (スコア:1)
      
      by jbeef (1278) on 2003年03月21日 15時22分 (#283679) 日記
      
      今あるコードから自動的に（完璧に）バッファオーバーフロー脆弱性を見つけて、指摘してくれる手法やツールがあればうれしいのですが。
      「完璧に」は無理でしょう。必要以上に警告が出てしまうものになるか、全部は見つけられないがいくらかは見つけてくれるものになるでしょう。研究レベルでは以下などの取り組みがあります。
      
      David Wagner, Jeffrey S. Foster, Eric A. Brewer and Alexander Aiken, A First Step Towards Automated Detection of Buffer Overrun Vulnerabilities, Network and Distributed System Security Symposium, Feb 2000.
      David Larochelle and David Evans, Statically Detecting Likely Buffer Overflow Vulnerabilities, 2001 USENIX Security Symposium, Aug 2001.
      中村豪一, 村瀬一郎, 静的解析によるCプログラムのバッファオーバーフロー検出, 情報処理学会プログラミング研究会, Jun 2002.
      
      シェア
      
      親コメント
- Re:バッファオーバーフローについて（識者に質問） (スコア:0)
  
  by Anonymous Coward
  
  完全な人間なんていないから
- Re:バッファオーバーフローについて（識者に質問） (スコア:0)
  
  by Anonymous Coward
  
  有名でよく使われているフリーソフトウェアでも、ソース読んでみると
  なんでこんなヘタクソな・・・とか思うことはありますから、
  どこにでも質の悪いコードなんて潜んでいるものじゃないですかね。
  
  ＃人のこと言えないのでAC
  - Re:バッファオーバーフローについて（識者に質問） (スコア:1)
    
    by jbeef (1278) on 2003年03月19日 23時14分 (#282639) 日記
    
    有名でよく使われているフリーソフトウェアでも、ソース読んでみると
    なんでこんなヘタクソな・・・とか思うことはありますから、
    「hacker」の作品だからでしょうかね。
    リーダーズ英和辞典第2版より:
    hacker
    2 《何をやっても》うまくいかない人, 不器用なやつ, ダメな人, 並の人; #《俗》ずさんな[しろうとの](コンピューター)プログラマー.
    
    シェア
    
    親コメント
- Re:バッファオーバーフローについて（識者に質問） (スコア:0)
  
  by Anonymous Coward
  
  まあ、人間は完璧な人はいないってことさ。
  コーディング量が多くなればなるほどバグが潜在する可能性は高くなるし。
  
  もっとも、初期のBoFの原因はコンパイラのバグが原因だったことも多かったけどな。
  - Re:バッファオーバーフローについて（識者に質問） (スコア:1)
    
    by jbeef (1278) on 2003年03月19日 23時22分 (#282642) 日記
    
    初期のBoFの原因はコンパイラのバグが原因だったことも多かったけどな。
    それはどんなバグだったのでしょうか？
    あと、「o」だけ小文字なのは「Birds of a Feather」かなにかの略だからでしょうか。
    
    シェア
    
    親コメント
    - Re:バッファオーバーフローについて（識者に質問） (スコア:0)
      
      by Anonymous Coward
      
      buffer overflow(バッファ溢れ)ではなく、Buffer over Flow(流れの上のバッファ)だと思っているのでしょうね。
- Re:バッファオーバーフローについて（識者に質問） (スコア:0)
  
  by Anonymous Coward
  
  オーバーフロー等が生じよないうにコーディングするというのもいいが、人間ミスはつきものなので、オーバーフロー等が生じよない言語、開発環境を整えるべきだと思っています。
  #初めてアセンブラでプログラム動かしたらバグってて自身を上書きしやがった！
  - Re:バッファオーバーフローについて（識者に質問） (スコア:1)
    
    by jbeef (1278) on 2003年03月21日 16時04分 (#283699) 日記
    
    オーバーフロー等が生じよない言語、開発環境を整えるべきだと思っています。
    既にたくさんありますよ。状況によってはそれらを選択すると十分な実行速度が得られないことがあるため、そのときにはそれらが選択されないというだけで。しかし、本当にそれだけの速度がその部分に必要なのかを検討することなしに、危ない言語が選択されていることもあるように思えます。
    
    シェア
    
    親コメント
- Re:ストーリーになるの遅すぎ (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2003年03月19日 2時27分 (#282062)
  
  /.でセキュリティ情報を扱う意義は、速報性よりも多数に訴えるボランティア的な社会的責務にあると思います。
  
  シェア
  
  親コメント
- Re:ストーリーになるの遅すぎ (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2003年03月19日 8時16分 (#282166)
  
  知っていたのなら、タレ込んで！
  そうやって、/.-J は回っているんだから...
  
  シェア
  
  親コメント
  - Re:ストーリーになるの遅すぎ (スコア:1)
    
    by shivandragon (10040) on 2003年03月20日 10時27分 (#282880)
    
    Ms03-008 [microsoft.com] CRITICAL とMS03-009 Moderate が出たようですが、英語読みたくないんで、きちんとタレこんでくれる人いませんか？
    
    シェア
    
    親コメント
  - Re:ストーリーになるの遅すぎ (スコア:0)
    
    by Anonymous Coward
    
    >知っていたのなら、タレ込んで！
    >そうやって、/.-J は回っているんだから...
    
    知らなかったんじゃない？
    で、タレこみのリンクページ先にいき、そこで初めて発覚した日にちを見た上で、
    単にストーリになるの遅い
    - Re:ストーリーになるの遅すぎ (スコア:0)
      
      by Anonymous Coward
      
      > # 早すぎると、それはそれで文句を言うやつでもありそうだ
      
      よくいると思います。タレコミ文が不完全だからあれを書けこのリンクを載せろ。
      早くタレコミ文を書こうとすると、それだけ情報収集に当てる時間が削られちゃうのよね。悲しいジレンマなのよ。
- Re:ストーリーになるの遅すぎ (スコア:0)
  
  by Anonymous Coward
  
  遅いと言うなら、いっそセキュリティセクションマスタになって、その優れた情報収集力を活かして、セキュリティの最新情報の速報性は、他のどこのサイトよりも速い/.Jにしてくれるか？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Microsoft IIS 5.0 のセキュリティバグ(WebDAV 機能) More ログイン

パッチ適用でクラッシュ (スコア:4, 参考になる)

MS03-007 が改訂されています (スコア:2, 参考になる)

Re:パッチ適用でクラッシュ (スコア:1, すばらしい洞察)

Re:パッチ適用でクラッシュ (スコア:0, 余計なもの)

Re:パッチ適用でクラッシュ (スコア:0)

DisableWebDAV (スコア:2, 参考になる)

「使ってないけど、動いてます」 (スコア:0)

不謹慎ですが (スコア:1, すばらしい洞察)

WebDAVって (スコア:1, おもしろおかしい)

IIS使っていなくても (スコア:1)

わりと緊急を要するようで (スコア:0)

実際に悪用されて発覚 (スコア:4, 参考になる)

「ある顧客」って、米国陸軍らしい (スコア:3, 参考になる)

なるほど (スコア:1)

不謹慎ですが (スコア:0)

Re:不謹慎ですが (スコア:1)

WebDAV 使ってる人いますか？ (スコア:0)

バッファオーバーフローについて（識者に質問） (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:1)

とは言ってもね… (スコア:0)

Re:とは言ってもね… (スコア:1)

Re:とは言ってもね… (スコア:0)

Re:とは言ってもね… (スコア:1)

Re:とは言ってもね… (スコア:1)

Re:とは言ってもね… (スコア:1)

Re:とは言ってもね… (スコア:1)

Re:とは言ってもね… (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:1)

Re:バッファオーバーフローについて（識者に質問） (スコア:1)

Re:バッファオーバーフローについて（識者に質問） (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:0)

フツーの人はそんなこと言わない (スコア:0)

Re:フツーの人はそんなこと言わない (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:1)

Re:バッファオーバーフローについて（識者に質問） (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:1)

Re:バッファオーバーフローについて（識者に質問） (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:1)

Re:バッファオーバーフローについて（識者に質問） (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:0)

Re:バッファオーバーフローについて（識者に質問） (スコア:1)

Re:ストーリーになるの遅すぎ (スコア:1, すばらしい洞察)

Re:ストーリーになるの遅すぎ (スコア:1, すばらしい洞察)

Re:ストーリーになるの遅すぎ (スコア:1)

Re:ストーリーになるの遅すぎ (スコア:0)

Re:ストーリーになるの遅すぎ (スコア:0)

Re:ストーリーになるの遅すぎ (スコア:0)