★小泉演説を事実上否定−韓国首相
└日本の歴史認識を3回批判
韓国の李海※(=鑽の金を王に)首相は22日、当地で開幕したアジア・アフリカ首脳会議で演説し、国連改革に関連して「過去の植民地支配をたたえて歴史をゆがめ、若い世代にそれを隠す国は将来に向かって進むことができない」と3回繰り返し、日本の安保理常任理事国入りに明確な反対の姿勢を示した。李首相はさらに、「(過去に対する)反省は誠実で行動を伴わなければならない」と指摘、小泉純一郎首相が同日、首脳会議の中で表明した日本の植民地支配などに対する「反省とおわび」を事実上否定した。
★<LAN障害>朝日や読売など
└ウイルスソフトの不具合で
23日午前、新聞社やJR東日本など社内LAN(企業内情報通信網)システムなどに障害が起きていることが分かった。障害は共同通信、朝日新聞、読売新聞、日経新聞、産経新聞、信濃毎日新聞の社内LANシステムやパソコンで発生した。特定の会社から配布されたコンピューターウイルス対策ソフトを同日朝更新した際、一斉に障害が起きたとみられる。共同通信社によると、同日午前8時20分ごろ、都内にある本社の編集端末に障害が起き、新聞社など加盟社57社への記事配信ができなくなった。約2時間40分後に復旧したが、加盟社に送信できない間は緊急措置として重要記事をファックス送信して対応したという。同社は、コンピューターを起動する際に更新されたウイルス対策ソフトの不具合で個別の端末が起動しなくなったのではないかとしている。朝日新聞では、23日午前から社内LANを使った記事編集システムに、一部のパソコンが接続できなくなった。同社も共同通信社と同様に特定のウイルス対策ソフトを更新したパソコンが不具合を起こしたとみられ、復旧作業を進めている。紙面発行には影響ないという。一方、JR東日本では、旅行業務を扱う「びゅうプラザ」の多数の店舗で、宿泊予約などを行う端末パソコンに一時障害が発生した。同11時すぎに再起動をかけたところ、正常な状態に戻りつつあるという。東京、八王子、横浜の各支社でもLANシステムに異常が発生し、社内メールの送受信ができなくなった。
★中国、反日デモの情報なし
中国各地では23日午前10時半(日本時間午前11時半)現在、反日デモの動きは伝えられていない。
先週大規模なデモが起きた上海市では、デモの集合地点となった市中心部の人民広場に通常の週末と同様に観光客が訪れている。一方、同市虹橋地区の日本総領事館周辺は当局が不測の事態に備えて厳重に警戒。武装警察や一般の警察官計約3000人が警備に当たっているほか、周囲の道路に貨物用のコンテナを置き封鎖している。北京市の日本大使館周辺では先週のように道路を封鎖することもなく、数台の警察車両が待機している。だが、大使公邸前では複数の警察車両が厳重に警備を固めている。天安門広場には朝早くから5000―6000人の観光客が訪れている。広東省広州市は23日にデモの情報があるとして広州市の総領事館が注意喚起をしていたが、午前9時半現在、繁華街は通常通りのにぎわいを見せている。
★シンデレラは悲恋招く?
└読み過ぎにご用心
「シンデレラ」を読み過ぎた女の子は将来、破滅的な恋から逃れられない恐れがあります−。23日付の英紙ガーディアンなどによると、英ダービー大学の研究者が、女性へのインタビューを基にまとめたこんな研究結果が英国で議論を呼んでいる。研究者は、夫や恋人などパートナーから虐待を受けた経験のある女性67人を調査。うち61人は忍耐と同情、愛情で相手の行いを変えられると信じ、深刻な虐待に耐えていた。61人の女性たちは、最後に“王子様”などの強いヒーローに助けられるシンデレラなど、童話の従順な女性の登場人物に感情移入しやすい傾向があったという。
★基礎は「△」/応用力「×」
└ゆとり教育導入後初の学力テスト
「北海道」分からない小5過半数
学力低下歯止め「?」
小学五年から中学三年を対象に文部科学省が実施した学力テスト「教育課程実施状況調査」の結果が二十二日公表された。「ゆとり教育」の現行学習指導要領導入後、初めての調査で、前回(平成十三年度)より計算問題などを中心に正答率が上がり、学力低下に歯止めの兆しがみられた。しかし、小学五年で「北海道」が分からない子供が過半数に上ったほか、記述式問題などは正答率が低下し、応用力などに依然、課題を残した。
中山成彬文科相は「ゆとりの反省と見直しがあり、底を打って上がりつつあるのではないか」と述べ、今後も「ゆとり」見直しの方針を進める考えを示した。
調査は、「学習内容の三割削減」の現行指導要領の二年目にあたる昨年一−二月に実施された。
同一問題の比較で正答率が前回を上回った問題は43%、下回ったのは17%。単純な計算問題や漢字の書き取りなどで正答率が上がった。しかし、小数と分数の割り算や、国語の記述式問題で前回を下回った。問題ごとに「このくらいはできてほしい」と文科省が予想正答率を設定したが、小学校の国語、中学の数学・英語を中心に予想を下回る問題が多かった。
例では、小学五年算数の円の面積を求める問題で正答率56%(予想75%)、中学三年理科で日の入りの地平線に沈む太陽の位置関係を問う問題は正答率47%(予想60%)だった。
また、小学五年社会で、「日本列島は四つの大きな島から成り立っています。北から( )、本州、四国、九州」と、カッコ内を問う問題で「北海道」と答えられたのは48%(予想80%)。かな書きや漢字の誤字も許容されたがショッキングな結果となった。歴史では明治以降の問題などで正答率が低かった。
全体的に正答率が上がったが、新指導要領では学習内容が三割削減され出題範囲が狭くなったにもかかわらず、予想正答率を下回った問題が多かったことを文科省は厳しく受けとめている。
一方、学習意欲・生活態度についてのアンケート調査では「勉強が好き」と答えた小学生が45%(前回比5ポイント増)などわずかだが改善傾向がでた。「朝食を必ずとる」と答えた中学二年の英語の平均点が、「とらない」と答えた子供より一割程度上回るなど、「基本的な生活習慣が身についている生徒はペーパーテストの得点が高い」(国立教育政策研究所)傾向もでた。
◇
【学力テスト】学習指導要領の理解度を調べ、改訂に生かすもので、国語、算数・数学、理科、社会、英語(中学のみ)のペーパーテストと、意欲や生活習慣を問うアンケート調査で構成。昭和30年代に行われていた学力テストは、「序列をあおる」などの教職員組合などの抵抗で中止された経緯がある。今回は、小、中学生約45万人(約8%抽出)が対象で、平成13年度調査以来2年ぶりの実施。
└日本の歴史認識を3回批判
韓国の李海※(=鑽の金を王に)首相は22日、当地で開幕したアジア・アフリカ首脳会議で演説し、国連改革に関連して「過去の植民地支配をたたえて歴史をゆがめ、若い世代にそれを隠す国は将来に向かって進むことができない」と3回繰り返し、日本の安保理常任理事国入りに明確な反対の姿勢を示した。李首相はさらに、「(過去に対する)反省は誠実で行動を伴わなければならない」と指摘、小泉純一郎首相が同日、首脳会議の中で表明した日本の植民地支配などに対する「反省とおわび」を事実上否定した。
★<LAN障害>朝日や読売など
└ウイルスソフトの不具合で
23日午前、新聞社やJR東日本など社内LAN(企業内情報通信網)システムなどに障害が起きていることが分かった。障害は共同通信、朝日新聞、読売新聞、日経新聞、産経新聞、信濃毎日新聞の社内LANシステムやパソコンで発生した。特定の会社から配布されたコンピューターウイルス対策ソフトを同日朝更新した際、一斉に障害が起きたとみられる。共同通信社によると、同日午前8時20分ごろ、都内にある本社の編集端末に障害が起き、新聞社など加盟社57社への記事配信ができなくなった。約2時間40分後に復旧したが、加盟社に送信できない間は緊急措置として重要記事をファックス送信して対応したという。同社は、コンピューターを起動する際に更新されたウイルス対策ソフトの不具合で個別の端末が起動しなくなったのではないかとしている。朝日新聞では、23日午前から社内LANを使った記事編集システムに、一部のパソコンが接続できなくなった。同社も共同通信社と同様に特定のウイルス対策ソフトを更新したパソコンが不具合を起こしたとみられ、復旧作業を進めている。紙面発行には影響ないという。一方、JR東日本では、旅行業務を扱う「びゅうプラザ」の多数の店舗で、宿泊予約などを行う端末パソコンに一時障害が発生した。同11時すぎに再起動をかけたところ、正常な状態に戻りつつあるという。東京、八王子、横浜の各支社でもLANシステムに異常が発生し、社内メールの送受信ができなくなった。
★中国、反日デモの情報なし
中国各地では23日午前10時半(日本時間午前11時半)現在、反日デモの動きは伝えられていない。
先週大規模なデモが起きた上海市では、デモの集合地点となった市中心部の人民広場に通常の週末と同様に観光客が訪れている。一方、同市虹橋地区の日本総領事館周辺は当局が不測の事態に備えて厳重に警戒。武装警察や一般の警察官計約3000人が警備に当たっているほか、周囲の道路に貨物用のコンテナを置き封鎖している。北京市の日本大使館周辺では先週のように道路を封鎖することもなく、数台の警察車両が待機している。だが、大使公邸前では複数の警察車両が厳重に警備を固めている。天安門広場には朝早くから5000―6000人の観光客が訪れている。広東省広州市は23日にデモの情報があるとして広州市の総領事館が注意喚起をしていたが、午前9時半現在、繁華街は通常通りのにぎわいを見せている。
★シンデレラは悲恋招く?
└読み過ぎにご用心
「シンデレラ」を読み過ぎた女の子は将来、破滅的な恋から逃れられない恐れがあります−。23日付の英紙ガーディアンなどによると、英ダービー大学の研究者が、女性へのインタビューを基にまとめたこんな研究結果が英国で議論を呼んでいる。研究者は、夫や恋人などパートナーから虐待を受けた経験のある女性67人を調査。うち61人は忍耐と同情、愛情で相手の行いを変えられると信じ、深刻な虐待に耐えていた。61人の女性たちは、最後に“王子様”などの強いヒーローに助けられるシンデレラなど、童話の従順な女性の登場人物に感情移入しやすい傾向があったという。
★基礎は「△」/応用力「×」
└ゆとり教育導入後初の学力テスト
「北海道」分からない小5過半数
学力低下歯止め「?」
小学五年から中学三年を対象に文部科学省が実施した学力テスト「教育課程実施状況調査」の結果が二十二日公表された。「ゆとり教育」の現行学習指導要領導入後、初めての調査で、前回(平成十三年度)より計算問題などを中心に正答率が上がり、学力低下に歯止めの兆しがみられた。しかし、小学五年で「北海道」が分からない子供が過半数に上ったほか、記述式問題などは正答率が低下し、応用力などに依然、課題を残した。
中山成彬文科相は「ゆとりの反省と見直しがあり、底を打って上がりつつあるのではないか」と述べ、今後も「ゆとり」見直しの方針を進める考えを示した。
調査は、「学習内容の三割削減」の現行指導要領の二年目にあたる昨年一−二月に実施された。
同一問題の比較で正答率が前回を上回った問題は43%、下回ったのは17%。単純な計算問題や漢字の書き取りなどで正答率が上がった。しかし、小数と分数の割り算や、国語の記述式問題で前回を下回った。問題ごとに「このくらいはできてほしい」と文科省が予想正答率を設定したが、小学校の国語、中学の数学・英語を中心に予想を下回る問題が多かった。
例では、小学五年算数の円の面積を求める問題で正答率56%(予想75%)、中学三年理科で日の入りの地平線に沈む太陽の位置関係を問う問題は正答率47%(予想60%)だった。
また、小学五年社会で、「日本列島は四つの大きな島から成り立っています。北から( )、本州、四国、九州」と、カッコ内を問う問題で「北海道」と答えられたのは48%(予想80%)。かな書きや漢字の誤字も許容されたがショッキングな結果となった。歴史では明治以降の問題などで正答率が低かった。
全体的に正答率が上がったが、新指導要領では学習内容が三割削減され出題範囲が狭くなったにもかかわらず、予想正答率を下回った問題が多かったことを文科省は厳しく受けとめている。
一方、学習意欲・生活態度についてのアンケート調査では「勉強が好き」と答えた小学生が45%(前回比5ポイント増)などわずかだが改善傾向がでた。「朝食を必ずとる」と答えた中学二年の英語の平均点が、「とらない」と答えた子供より一割程度上回るなど、「基本的な生活習慣が身についている生徒はペーパーテストの得点が高い」(国立教育政策研究所)傾向もでた。
◇
【学力テスト】学習指導要領の理解度を調べ、改訂に生かすもので、国語、算数・数学、理科、社会、英語(中学のみ)のペーパーテストと、意欲や生活習慣を問うアンケート調査で構成。昭和30年代に行われていた学力テストは、「序列をあおる」などの教職員組合などの抵抗で中止された経緯がある。今回は、小、中学生約45万人(約8%抽出)が対象で、平成13年度調査以来2年ぶりの実施。
|
|
|
|
コメント(1)
★大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?
4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。サービスを提供しているイー・マーキュリーでは、この現象について一応の対処は取った模様だ。ただ、技術的な詳細については「ハッキングでもなく、サーバ攻撃やウイルスでもない。ID盗難などの被害は発生していない」という回答のみで、「それ以上はコメントできない」と述べるにとどまっている。
だがある意味、このコメントは正しい。「はまちちゃん」現象は、ウイルスなどの仕業ではないからだ。
●正規ユーザーの操作で「意図しない」結果に
URLをクリックすると勝手に日記が書き込まれるこの現象の原因は、Webアプリケーションの脆弱性の一種である「クロスサイトリクエストフォージェリ(Cross Site Request Forgeries:CSRF)」によるものだ。外部からの攻撃やウイルスによるものではなく、Webアプリケーションの実装に起因する問題である。三井物産セキュアディレクションでWebアプリケーションのセキュリティ検査に携わっている中村隆之氏から得られたコメントによると、CSRFとは「特定の機能を実行するときのHTTPリクエスト(URLや必要なパラメータなど)を攻撃者が推測可能な場合に、攻撃者によって誘導されたユーザーが、意図に反してその機能を実行させられてしまう」という脆弱性だ。IPAとJPCERT/CCが4月19日に行った、2005年第1四半期の脆弱性届出状況に関する説明会でも言及されていた。
「クロスサイト」という単語だけを見れば、Webアプリケーションの脆弱性の1つとして広く知られている「クロスサイトスクリプティング(XSS)」が連想される。確かに、CSRFとXSSには共通点がある。いずれもWebアプリケーションを悪用し、サーバを介してユーザーが被害を蒙ってしまうことだ。
しかし中村氏によると、XSSでは入力値の未チェックやサニタイジング漏れといったアプリケーションの「不備」が狙われるのに対し、CSRFではアプリケーションが備える「機能」そのものが利用されるという。正規ユーザーがログインしている状態で、アプリケーションが備える正しい機能を用いて「意図しない結果」がもたらされるわけだ。
「はまちちゃん」騒動の場合、ユーザーは既にmixiにログインした状態にある。そこで何の疑いも持たずに、エンコードされた文字列とコマンドが仕込まれた(けれど「何だか面白そう」と思わせる説明付きの)URLをクリックすると、勝手に日記が追加されてしまう。というのも、クリックした本人にはそのつもりがなくとも、Webサーバ側から見れば、ログイン済みの正規ユーザーが日記を書き込むためのコマンドを要求したのと同じことだからだ。処理を断る理由はない。
mixiではいったん対処が取られたようだが、その後、JavaScriptを仕込んだ別のWebサイトを組み合わせて同様の結果をもたらす仕掛けも登場し、対策とのいたちごっこになっている。
「はまちちゃん」の場合、URLをクリックすると書き込まれる日記の本文にさらに「仕掛け」のURLが含まれていたため、被害者は連鎖的に広がった。「連鎖的に広がる」という部分だけを見ればワームに似た現象だが、根本的な原因はWebアプリケーション側の作りにある。
つまりCSRFはmixiに限った問題ではなく、他のサービスやツール、Webアプリケーションでも十分に起こりうることだ。事実、ブログサービスの「はてなダイアリー」でもCSRF問題が確認され、2004年9月に修正されている。
しかも「CSRFによる被害は、攻撃者によって実行させられる機能の重要度に依存し、重要なサイトであればあるほど想定される被害が大きくなる」(中村氏)。今回はたまたま日記の更新という結果にとどまったが、オンラインショッピングサイトなどで悪用されれば、金銭被害や個人情報の流出といった実害が生じるであろうことは容易に想像できる。
●対策は「攻撃者による推測を困難にすること」
では、どうすれば問題を防げるのか。根本的な対策は、他のWebアプリケーションの脆弱性同様、サービスやツールを提供する側の対処にかかっている。
中村氏によると、「CSRFの問題点は『機能を実行するためのHTTPリクエストが推測できてしまうこと』」。逆に言えば、攻撃者による推測が困難なパラメータをHTTPリクエストに含めることで解決できるという。
たとえば、予測しにくいセッションIDを用いてきちんとセッション管理を行うことで、CSRFのリスクを減らすことは可能だろう。中村氏によれば「ワンタイムトークンの利用」も有効なほか、「重要な処理を確定させる際に再認証を行う」方法が推奨されるという。つまり、商品購入、決済などの重要な操作を確定させる前に必ずIDとパスワードを入力させることで、CSRFによる攻撃は困難になるという。
なお「HTTP Refererをチェックするという方法も考えられるが、中にはHTTP Refererを出力しないブラウザも存在する」(中村氏)ため、前述した方法が推奨されるということだ。
いずれにしても、どれか1つの方法でCSRFに完全に対処するのは難しい。他のWebアプリケーションの脆弱性と同様、慎重に設計し、実装していくことが重要だろう。
ユーザー側にできることはあるだろうか? こまめにログイン、ログアウトを行えば、外部URLへのリンクを用いたCSRF攻撃から身を守ることができそうだが、mixiのように内部で仕掛けられる場合は防ぎようがない。
「はまちちゃん」にひっかかってしまった某編集部員いわく、怪しいURLに見えたものの「ユーザーどうしの信頼感が比較的高いmixiだから、ユーザーの個人スペースを使ったトラップにはひっかかりやすいのでは」と述べている。残念ながら、コミュニティの内外を問わず、不審なリンクはクリックしないことに尽きるようだ。
■さらに画像の入った記事はこちら
http://www.itmedia.co.jp/enterprise/articles/0504/23/news005.html
http://www.itmedia.co.jp/enterprise/
4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。サービスを提供しているイー・マーキュリーでは、この現象について一応の対処は取った模様だ。ただ、技術的な詳細については「ハッキングでもなく、サーバ攻撃やウイルスでもない。ID盗難などの被害は発生していない」という回答のみで、「それ以上はコメントできない」と述べるにとどまっている。
だがある意味、このコメントは正しい。「はまちちゃん」現象は、ウイルスなどの仕業ではないからだ。
●正規ユーザーの操作で「意図しない」結果に
URLをクリックすると勝手に日記が書き込まれるこの現象の原因は、Webアプリケーションの脆弱性の一種である「クロスサイトリクエストフォージェリ(Cross Site Request Forgeries:CSRF)」によるものだ。外部からの攻撃やウイルスによるものではなく、Webアプリケーションの実装に起因する問題である。三井物産セキュアディレクションでWebアプリケーションのセキュリティ検査に携わっている中村隆之氏から得られたコメントによると、CSRFとは「特定の機能を実行するときのHTTPリクエスト(URLや必要なパラメータなど)を攻撃者が推測可能な場合に、攻撃者によって誘導されたユーザーが、意図に反してその機能を実行させられてしまう」という脆弱性だ。IPAとJPCERT/CCが4月19日に行った、2005年第1四半期の脆弱性届出状況に関する説明会でも言及されていた。
「クロスサイト」という単語だけを見れば、Webアプリケーションの脆弱性の1つとして広く知られている「クロスサイトスクリプティング(XSS)」が連想される。確かに、CSRFとXSSには共通点がある。いずれもWebアプリケーションを悪用し、サーバを介してユーザーが被害を蒙ってしまうことだ。
しかし中村氏によると、XSSでは入力値の未チェックやサニタイジング漏れといったアプリケーションの「不備」が狙われるのに対し、CSRFではアプリケーションが備える「機能」そのものが利用されるという。正規ユーザーがログインしている状態で、アプリケーションが備える正しい機能を用いて「意図しない結果」がもたらされるわけだ。
「はまちちゃん」騒動の場合、ユーザーは既にmixiにログインした状態にある。そこで何の疑いも持たずに、エンコードされた文字列とコマンドが仕込まれた(けれど「何だか面白そう」と思わせる説明付きの)URLをクリックすると、勝手に日記が追加されてしまう。というのも、クリックした本人にはそのつもりがなくとも、Webサーバ側から見れば、ログイン済みの正規ユーザーが日記を書き込むためのコマンドを要求したのと同じことだからだ。処理を断る理由はない。
mixiではいったん対処が取られたようだが、その後、JavaScriptを仕込んだ別のWebサイトを組み合わせて同様の結果をもたらす仕掛けも登場し、対策とのいたちごっこになっている。
「はまちちゃん」の場合、URLをクリックすると書き込まれる日記の本文にさらに「仕掛け」のURLが含まれていたため、被害者は連鎖的に広がった。「連鎖的に広がる」という部分だけを見ればワームに似た現象だが、根本的な原因はWebアプリケーション側の作りにある。
つまりCSRFはmixiに限った問題ではなく、他のサービスやツール、Webアプリケーションでも十分に起こりうることだ。事実、ブログサービスの「はてなダイアリー」でもCSRF問題が確認され、2004年9月に修正されている。
しかも「CSRFによる被害は、攻撃者によって実行させられる機能の重要度に依存し、重要なサイトであればあるほど想定される被害が大きくなる」(中村氏)。今回はたまたま日記の更新という結果にとどまったが、オンラインショッピングサイトなどで悪用されれば、金銭被害や個人情報の流出といった実害が生じるであろうことは容易に想像できる。
●対策は「攻撃者による推測を困難にすること」
では、どうすれば問題を防げるのか。根本的な対策は、他のWebアプリケーションの脆弱性同様、サービスやツールを提供する側の対処にかかっている。
中村氏によると、「CSRFの問題点は『機能を実行するためのHTTPリクエストが推測できてしまうこと』」。逆に言えば、攻撃者による推測が困難なパラメータをHTTPリクエストに含めることで解決できるという。
たとえば、予測しにくいセッションIDを用いてきちんとセッション管理を行うことで、CSRFのリスクを減らすことは可能だろう。中村氏によれば「ワンタイムトークンの利用」も有効なほか、「重要な処理を確定させる際に再認証を行う」方法が推奨されるという。つまり、商品購入、決済などの重要な操作を確定させる前に必ずIDとパスワードを入力させることで、CSRFによる攻撃は困難になるという。
なお「HTTP Refererをチェックするという方法も考えられるが、中にはHTTP Refererを出力しないブラウザも存在する」(中村氏)ため、前述した方法が推奨されるということだ。
いずれにしても、どれか1つの方法でCSRFに完全に対処するのは難しい。他のWebアプリケーションの脆弱性と同様、慎重に設計し、実装していくことが重要だろう。
ユーザー側にできることはあるだろうか? こまめにログイン、ログアウトを行えば、外部URLへのリンクを用いたCSRF攻撃から身を守ることができそうだが、mixiのように内部で仕掛けられる場合は防ぎようがない。
「はまちちゃん」にひっかかってしまった某編集部員いわく、怪しいURLに見えたものの「ユーザーどうしの信頼感が比較的高いmixiだから、ユーザーの個人スペースを使ったトラップにはひっかかりやすいのでは」と述べている。残念ながら、コミュニティの内外を問わず、不審なリンクはクリックしないことに尽きるようだ。
■さらに画像の入った記事はこちら
http://www.itmedia.co.jp/enterprise/articles/0504/23/news005.html
http://www.itmedia.co.jp/enterprise/
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
今日のニュース 更新情報
-
最新のイベント
-
まだ何もありません
-
-
最新のアンケート
-
まだ何もありません
-
今日のニュースのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- mixi バスケ部
- 37862人
- 2位
- お洒落な女の子が好き
- 90060人
- 3位
- 写真を撮るのが好き
- 208308人