元気のないフィード
こんばんは、Replay.fm 第48回です。
こんばんは。
こんばんは。
こんばんは。
元気っすね。
はきはきいきたいな。
元気そうっす。はきはきいきたい。
あの…
どうしたんすか、今日。
こいつら元気ないな、4回連続は避けようかなって。
4回連続になったら、もう1ヶ月、1ヶ月間こいつら元気ないなって。
あー、なるほどね。
うん。
元気ですか?
今日は寝違えて、首が痛いです。
あははは。
夜まで引きずって。
朝会でも言ってたよね。
だいぶ良くなったね。
ロキソニンテープでだいぶ良くなった。
あー、えー、ロキソニンテープって読むのがあるの?
へー、知らない。
ロキソニンテープ様々ですね。だいぶマシな。
ロキソニン…あー、えー…
ロキソニンテープってちょっと…
キンキン、すげー気になそう。
うるせー。ただのシップだよ。
へー。
テープ版のロキソニンがあるんや。
覚えておこう。
なんだっけ、あの…
有名なやつ、有名なシップしか使ったことない。
なんだ。
逆に分かんねーよ。
なんだ、有名なシップ。
なんだっけ。あ、フェイタス、フェイタス。
フェイタス、フェイタスの推しでいつも買ってたから。
ま、大差ないんじゃない?どっちもだって第二人逆人じゃん。
確かに。
大差ない。
へー、なるほど。
ありがとう、ロキソニンテープ。
はい、ありがとう、ロキソニン。
いや、マシ。
うん、元気です。
元気ではある。
頑張っていきましょう。
でもね、フィードは元気がなくて。
フィードは…いや、でもさ、元気がないわけないんだよ。
ノンディスカバラブルクレデンシャルフローの脆弱性
多分ね、読んでないだけじゃなくて、できてないだけかもどっちか。
てかなんか、あの、デフコンブラックアウトがさ、
うんうん。
あれまだか。あれいつからだったっけ。
ギリギリ被ってないのかな。
次の週が、
あー。
あのー、盛り上がるのかな。
いや、でもデフコンブラックアウト入ってるはずだよな。
まぁでも、レポが上がってきたりとか、
日本語で回ってきたりとか、
だいぶ、
ちょっと時間かかるのかな。
おかしくない?
うん。
去年、そう、去年のこの時期はまだやってなかった。
これやってなかったかなんか分かんないけど、
毎年結構出てくる感じなの?
なんかあんま分かんないな。発表してると。
いやー、結構出てくるとは思うけどなー。
なんかそれこそ今日も一応入れてるけど、
このHTTP1.1。
1.1マスターインみたいな話とかは結構、
こういう出し方してくる人とか企業とかは結構あったりする気がするし。
なるほどね。
うん。
セッション多いなー。さすがやなー。
うん。
全部はやっぱピックされなくて、
そのー、
例えばキーノートで印象的だったその話とか、
なんか、
あとは割とそのーなんていうか、
キャッチーなやつとかが結構出てきたりするかなと思うのと、
あとは多分NRAセキュアとかはまたあれじゃない?
出てきました、レポートのブログ出すんじゃない?
これは少し時間かかると思うけど。
うんうん。
さすがには楽しみだね。
確かにね。
一応フィールド全部、
なんとか駆け込みで消化したけど、
でもあんまなかったなー。
偉いっしょ。
普通にさっきまで仕事してたわ。
うんうんうん。お疲れ様です。
というわけで今日は3つササッといきますか。
はい、やりましょう。サッとやりましょう。
はーい。
5分で。
5分で。
5分、5分ちょっと、はい頑張りましょう。
いいよ普通に、普通にやる普通に。
えー、じゃあ1個目。
パス金日常におけるアカウント乗っ取り、
ノンディスカバ、ディスカバラボークレジェンシャルフローとの
混在に起因する脆弱性解説。
gmoflat securityブログ。
いつものflatさんの解説記事ですね。
うん、内容としてはCVで言うと2025-26788の解説をしてくれている記事で、
で、パスキーサーバーかな。
パスキーサーバーを実装する
OSSなんだっけ。
ストロングキーファイドサーバーっていうのかな。
があって、これに脆弱性の解説をしてくれているって感じですね。
で、脆弱性内容としてはすごい自信ないながら頑張っているんですけど、
ノンディスカバ、ディスカバラボークレジェンシャルフローと
ディスカバラボークレジェンシャルフロー、こっちはいわゆるパスキーのところを
いやーこれうまく説明できる自信ないなと思いながら来たんだけど
ディスカバラボークレジェンシャルフロー
ダメだな。頑張ろう。
詰まるところ、
詰まるところ、
ノンディスカバラボークレジェンシャルフローの場合は
クレジェンシャルID、IDパスワード認証でいうところのIDを
パラメータに指定して
図があってですね。
そうですね。
送ったIDに紐づくチャレンジとクレジェンシャルIDが返ってきて
それをローカルの検証機で秘密鍵で検証して
それをサーバに送って大丈夫だねっていうのが一連の流れなんですけど
問題は一番最初に指定したクレジェンシャルIDを
元にサーバ側で参照する公開鍵かな
公開鍵を
きちんと紐づけてなくて任意のユーザーIDが乗っ取れちゃうっていう脆弱性
ちょっと待ってね。なんかめっちゃ考えながら話を聞いているので
何にも頭に入らないんだけど
本来はユーザーAでログインしたいですって言ったら
ユーザーAの公開鍵でクライアントから来たアサーションっていうのを検証しなきゃいけないんだけど
それをちゃんとやってなくて穴が開いちゃったって感じです
穴が開いたというか乗っ取りができちゃったっていう
これはレスポンスの改ざん?クレジェンシャルIDの改ざんはどこでどういう風にやる?
これはブラウザ上で
ブラウザ上で動くJavascriptの処理ではあるから
なんだかXSSとかがあればっていう感じかな
もしくはこれそもそも
僕の理解が間違ってなければかつ記事の中に研究あるのを読み落としたのかわかんないけど
前提条件として攻撃者は事前にバリッドなアカウントを作ってパスキーなりを登録してあるはず
乗っ取りっていうのが攻撃者側の処理で全部完結しちゃうから
別にXSSとかを見つける必要もない
攻撃者側が
完全に理解した
乗っ取りたいユーザーとしてログインしたいです
送って帰ってくるんだけどそこは手元の環境なんで人にJS書き換えて
手元の検証は自分のアカウントとして検証を回して
自分のアカウントのアサーションを送って
サーバー側はそのアサーションに対して
攻撃者の公開書きで検証するんだけど
セッションは一番最初に送ったやつで吐き出しちゃう
割と理解すればシンプルな話って感じかな
なるほどね
クレデンシャルIDをどこかで持っておかないといけない
ここまで書いてある通りか
アサーションの中に入っているクレデンシャルIDをちゃんと検証しろ
署名は検証するんだけどアサーションの中身が合っているかどうかは
検証してないから
アサーションの中で指定されたクレデンシャルIDにひも付く
ログインユーザーに対してそのままログインさせちゃうという感じかな
そうだねどう修正されたかとかは
多分このちょっと時間なくてあんまり置いてないんだけど
多分バグった原因は
ノンディスカバラブルクレデンシャルの認証フローとパス検証のフローで同じ処理を使いまわして
ごっちゃついたみたいな部分があって
そこの処理をきちんと分けたみたいなことか
ノンディスカバラブルクレデンシャルのフローだとちゃんと検証されてたんだけど
テストと予防策
途中からごっちゃになってるから
ディスカバラブルクレデンシャルのフローで
フローの場合はそこはわざわざ検証しないので
そうだねそうだねそういうことだね
修正はそうだねアサションの中身見て
GET BY U3でもクレデンシャルがいいそうだね
いやマジもう頭がついていかないよおじさんには難しいよ
そのためにこの時間があるんじゃないですか
これね
えー面白い
まあでもやりがちってのはやりがちだよな
なんかやっちゃいそうだなっていう
結構さ
今ちゃんとテラフォームのアプライとかでコピるようになってるけど
ワークロードアイデンティティフェデレーション
Googleクラウドのワークロードアイデンティティフェデレーション
なんとかコンディション
アトリビートコンディションだそうアトリビートコンディションとか
つけてないパターンとかさ結構ガバガバだったりするじゃん
あれはつけてるけど中身がガバガバですみたいな
ああいうの割とやらかしがちだよねーみたいな話と多分一緒だよね
なんか割とやりがちなんだろうねこういうのね
なんか普通に何も考えずに書いてると
やりそうな気はするわ確かにうっかりミスというか
あとまあ複雑どうなんだろうなサーバー実装するメッセージ
複雑ではあると思うよその
要はなんて言ったらいいんだろうこの
ASCIIの認証のフローの中で色んなパターンがあるよ
っていうのが結構複雑だよね
ディスカバラブルクレデンシャルとノンディスカバラブルクレデンシャルがある
っていうのがまず複雑だよねみたいな話は当然あると思うし
複雑だとテストケースもなんか書ききれなかったり
検証しきれなかったりとかそういうの全然あるよなとか
ある種異常系ではあるよなでもなんかテストに落とせるとしたら
そう考えるとまあ難しいな
テストに落とすとしたらでも変なアサーション作ってさ
通っちゃわないかどうかのテストを書いていれば防ぎたわけでしょ
そう思うと割と素朴に予防できそうな気がする
まあ惜しいなとは思うね
なんかやっちゃいがちだよねと思うのと同時に惜しいなとは思うね
4.10.0から4.15.0まで
多分入ってるっぽいから
意外と長い間誰も気づかなかったけど
どんぐらいメジャーなOSですよね
そもそも
まあ分かんないちょっと
はいそんな記事でした
ありがとうございました
クロードコードのセキュリティレビュー機能
これ気になってたやつ読んでないけど
オートメイトセキュリティレビュースウィズクロードコード
まあアンソルピックの記事ですね
ネットさんの方の記事を読んじゃったんですけど同じ内容というかこっちが一時ソースなので
引っ張ってきましたという感じなんですけど
ブログ内容はフィーチャーアップデートみたいな感じで
タイトル通りセキュリティレビューをクロードコードができるようになったよという
機能リリースみたいな感じですね
具体としてはこれですね
スラッシュセキュリティレビューコマンドを叩くとセキュリティレビューをしてくれるというアップデートが
入りましたなんでとてもいいですね
ぜひ手元で皆さん使ってみてくださいって感じで
僕はまだ使ってないんですけど
クロードコードアクションリターバーアクション図上でもできるんで例えばプレディック立つ度に
このコマンド叩いてレビューを投下するみたいなこともできたりとか
あとはなんかちょっと触ってみましょうっていう
ところにつきつつまあ書いてあるところとしてはSKLiとか
XSSとかオーセンティケーションオーソレイゼーション周りとか
まあその辺まあ多分スタンダードな部分を見てくれるよみたいな部分とか
デペンデンシーバレナルベリーにも書いてあるの
本当だねうんあとは
アンソロピック社内でも使っていて結構
見つけられなかったので静寂でこいつが見つけてくれたよみたいな話も
いやーこういうのでいいんだよな
楽じゃんギターバーアクション図で適当に回してれば
まあいくつかたまに見つけてくれるぐらいの
これちょっと使ってみたいな
なんか適当なリポジトリでさ入れさせてもらおうよ
まあでもちょっと適当なリポジトリでもいいけど
なんかいろいろ混ざっちゃいそうなところで試したいなって気持ちもあるな
なんか回す分には別に害はないけど
害はないというかさそうですね
とてもいいなっていうか
クロードコードまだ触ってないんだよね使ってみたいな
クロードコードってこれ何アンソロピックのAPIキーがあればそれ食わせて
えっとねAPIキーとかじゃなくてAPIキーでもいけるけど
CLIから普通にログインする感じかなそうそうそうそう
APIキーいけないんじゃないかななんかクロードコード専用の
なんか裏側モデルが選択されてるみたいな感じだったっす
うん確かに
いやちょっとクロードコード能力低いね自信ないけど
もう一個の記事で書いてあったけど多分社内にレッドチーム
レッドチームがいてなんかその辺が
開発に関わってるみたいなチラッと見たら
この記事に書いてあるのかなこの記事には書いてないか
この記事に書いてないってなったらどっから突き止めた情報なんだって感じがするか
そうですね是非お試しあれ
こういうのでいいんだよだね本当に
こういうのでいいんだよかい
ギターがねコードQLがこれ本当に
このクロードコードのやつが良かったらコードQLの立場が危うい気がするね
SUSTの時代も終わりを告げるのかもしれない
いやー
HTTPリクエストスマグリングの問題
SUSTもさ多分色々あるよなと思ってて
なんか難しいな
どうなんだろうねその要は
このLLMでやるのってどっちかというと
ある種のパターンマッチングに近いような気がしていて
感覚的に
公文解析してNNKNDみたいなところをやるのは多分
クラシックなSUSTの方が強いんじゃないかなって思うんだよね
なんかその辺検証したやつとかないのかな
時間が経ってモデルが優秀になったら
そこも追い越し売るのかもう追い越せない壁があるのか結構気になるな
なんか肌感的には追い越せちゃいそうな気がする
追い越せちゃう気はするね要はそのある種人間の
嗅覚みたいなものを再現するようになっていて
口直に全てを公文解析しなくても見つけられるよみたいなのは全然あると思うし
そのある種コードリーディングみたいなのも多分再現するような感じになってると思うから
追い越せるタイミングは
追い越すタイミングがどこかで来るのかなとは思うんだけど
コーラ性とかホールスポジティブの少なさみたいなところでは
多分なんていうか
口直にその公文解析して全部見ましたっていうパターンの方が
多分強いと思うんだよその原理上ね
あとは価格面も圧倒的だろうねさすがに
すみ分けみたいなのはもしかしたらあるかもね
価格はでもどっかで逆転するかもしれないけどな
コードベースの大きさとかにもよるだろうし
どうだろうねさすがにLLMの方がずっと高いのかな
原価で見たら圧倒的なんじゃないだって
さすと10ファイル読ませて
処理するのとLLMでモデルに壊せるだと
そこは分からない
0.001ドルとかでもまあお金計算することないかどうだろうね
あとはもうその辺ももはやLLMが
得意なケース判別して使い上げてくれたら最高だな
さすとのMCPサーバーが動いてて
このファイルはさすとでここは見てるとか
そういう世界もあるかもしれない 読めないね
そうだね これはぜひお試しください
試します 明日入れ…違う明日休みだ
まあいいや じゃあなんと最後
お願いします
HTTP 1.1マスターって新型の時に
ポートスイッカーの記事です
ポートスイッカーの記事というか
ポートスイッカーの人がポートスイッカーのブログにアップしてるっていう
多分表現の方がしっくりくる気がするんだけど
どっから話したらいいのかな
実は読む時間全然足りてなくて
読めてないんだけど
タイミング的にはどこだ
多分ブラカットかなで発表してたんじゃないかなと思うんだけど
結構前からこういうのを出すよっていうのを
ずっとカウントダウンしてたんだよね
で結構気になってたんだけど
どこで出したんだろう まあいいや
結構気になってて 割と
なんて言ったらいいんだろう こう
でかいタイトルじゃん
気になってて やっと出たかと思って
まだ全部読めてないし ちゃんと理解はできてないんだけど
今のところの理解だとHTTPリクエストスマグリングの上位概念として
HTTPデシンクアタックみたいなの多分
低減してるのかなみたいなふうに思っていて
ストリームに乗っかってきた文字列の解釈のズレによって成立する攻撃全般を
これ指してデシンクって多分言ってて
同期ズレみたいな表現なのかな 分からんけど
そのズレによって成立する攻撃全般を指して
デシンクアタックっていうふうに言ってるのかなと思ってるんだけど
ちょっと分かんない 割となんか今までこういうのがあったよね
みたいな話とかもしつつ もはや
エコシステムというかアーキテクチャが複雑すぎて
もうHTTP1.1だと無理だよっていうのを多分言っていて
なのでもうHTTP1.1は死ぬべきだよっていうのを
主張として出してる感じかなと思ってるんだけど
間違ったらごめんなさい
この関連記事一気に4つぐらい出てて 多分この記事が一番ちゃんと書いてるんだけど
他のやつとかさらっと書いてあって
そうね
またなんかHTTP2で表面上はやりとりしてるけど
裏側では結局HTTP1.1で動いてるものがたくさんあって
依然として脅威だよみたいな
記事中に書いてるって感じかな
そうだね余計悪いよみたいなこと多分書いてて
いやー面白いね
これは手段
別にでも
これによって急に
なんて言ったらいいんだろう
例えば1年後にもうHTTP1.1どこでも使えなくなりますみたいな
感じには多分ならないと思うんだよね
でも割とアーキテクチャがもはや複雑すぎて
みたいなのは確かになって思う部分は正直あるし
クラウドネイティブな
アーキテクチャだとどっちかっていうと
プロバイダー側に頑張ってほしいなっていう部分がある気がするから
自分たちのハンドリングできる範囲は全部HTTP2で喋るようにするっていうのは
全然やるべきだよなって気はするな
なんかどこの会社の何の話か忘れちゃったけど
実写のオンプレのサーバー内の通信も全部HTTP2に移行した
みたいな話をどっかで見て
それ話見たのも多分もはや9年10年前とかで
HTTP2が出たばっかのときにどっかがやってて
いいなみたいな思った記憶があるけど
今思ったけど10年経ってるし
こういうのもあるし
一つの時代の終わりを本当に感じる
これ探す側面白そうだな
HTTPリクエストスマグリング自体は
割と昔からある話だなとは思っていて
割と実例とかをガーッと説明してくれてるのが面白いな
割と
パーサーの実装も星の数ほどあるし
そりゃずれちゃうよね
ずれない仕様を書けないもんかなと思うんだけどね
HTTP2だと技術上元気あるのか分かんないけど
バイナリーじゃないですか
あんま適当なこと言いたくないけど
緩和されるのかしら
どう
10年前に勉強したのに忘れてた
多分HTTP2の場合はあれなんじゃないかな
セッションの概念が違うじゃん
そうだねステート思ってるね
意味混在することがないんじゃないかな
いまいちその辺のあれを原理と結びつけて答えらんないけど
記事の最後に書いてあるけど
HTTP2使っとけみたいな感じの結論にはなりつつ
まだサポートしてないところを名指していってて
って感じやな
HTTPの将来とアーキテクチャ
我らがGoogleクラウドは可能らしいぞ
これちょっとちゃんと読もう
ちゃんと読もうと思いつつ全然まだ読めてない
もうさーっとさーっとさっき読んだんだけど
中身はちゃんと読んで
結構メッセージ性強いね
みんなでこの危険性を主張して廃止していきましょうみたいな感じに読めるな
これきついと思うけどな
きつそうだね
でもHTTP2
無理だろうなどういう意向をしていけばいいのか
なんとも言えないな
例えばだけどHTTP1.1の通信を
全部Googleが間に入りますよ
クライアントとGoogleの間は全部HTTP2にしますよ
お盆休みの仕事と過ごし方
そういう絡めてをやってもいいのかなって一瞬思ったけど
でもその場合はやっぱフロントがHTTP2で
バックエンドがHTTP1.1みたいな状況が
やっぱ生じるわけで
本質的に解決策になるし
移行期間としてもそれが共有できるかというとちょっと違うような思うから
HTTP2を実装してください以上なんじゃない
移行してくださいっていう
一個やるとしたら
CTNとかがバックエンドに対して
HTTP2でしか接続しにいかない
とかやるとしたら
結果的にそうすると
HTTP2からHTTP1.1に
フロントエンドとバックエンドでズレがあるみたいなのはまず減らせるし
確かに
そうするとあとはクライアントとバックエンドが直でつながっているパターンの話になって
その場合ブラウザが警告を出すとか
あると思うから
HTPS入れてないほうが
入れないほうが理由も説明求められるようなみたいな
空気になったじゃないですか
10年前から
それもさ
レッツエンクリフトって出たのいつ?
まだ学生の頃だったよね
学生の時には触ってたもん
10年以上前だね
2014年か
2014年に発表されて
実際使われるようになったのは
いつなんだろうね
一時期
レッツエンクリフト自身が
いつからだろう
2014年
2015年に
サービスが一般11月か
2015年の冬頃には
パブリックベータで使えるようになってて
割と初期に触ってたから
そんな時期まで私VPS維持してたんだ
おもろ
しみじみ
この辺りからだよね
HTTPSデフォルトみたいな
あれが出て
HTTP2が出てそもそも
スピーディー自体が
2014年2015年くらい
そこからHTTP2になって
懐かしすぎる
スピーディーならHTTP2の場合は
DLSデフォルトだよ
スピーディーの話してたらクイックの話ができて
10年かかってるわけだよね
ここから10年かけて
HTTP1.1をなくしていく
HTTPで接続するときに警告が出るようになったのって
割と最近じゃん
でもさすがに5年前くらいに
出てたっけな
表示はされてたと思うんだよ
5年前の時点で
右上にノットセキュアって出るようになってたのは
左上か 左上にノットセキュアって出るようになってたのはかなり前からだと思う
あれでも俺の使用端末のChromeからだと出ねえな
この警告画面が
なんで出ないんだろう 会社PCだと出るんだけどさ
会社PCの何かの設定依存なの いや違うな出るな
出るわ インコグニットウィンドウにしたら出たわ
なんでだ まあいいや わからん
なんか色分けしてんのかもね ベータ版とか言ってた
入ってねえ まあいいや
ジャックさんが鍵アイコンがなくなった経緯とかめっちゃブログ書いてたから
そのブログ読めば歴史が振り返るかもしんない
まあいいか まあでも10年
10年だよ
ここから10年 そうっすね
まあまあまあ まあでもなんか
サードパーティークッキーとかもそうだけどさ
ブラウザ界隈 ブラウザベンダー側も
ブラウザに限らずなんだけどこれの話は
CDN界隈もなんか入ってきたりするし
結構問題としては複雑なんだけど
それにしても特にブラウザ界隈とかはさ結構
なんて言ったらいいんだろう このパターンの問題に対する
対処の方法を積み重ねてきてるわけじゃん
サードパーティークッキーにしてもHTBSにしても
なんか割とこうなんとかなるかもね
わかんないけど もうちょっと早く進むのかもしれない
そんな気はするというか まああとはその
クラウドをベンダー側に構ってほしいかな
なんかさ そのどこまで行っても100人あるんだけど
少なくともモダンなアーキテクチャでインフラ構成してたら
まあなんも考えなくてもまあなってるよねみたいな
風になってるといいかなって気はするね あとOSSとかが
対応してるとかもあるっちゃあるけどまあそっちは
さすがに問題ない気がするから まあそのとこっすか
はい そんなとこっす
健康管理の手段
おはようございます
シュッと まあ
このFMもほぼ休みですか 休みじゃないけど
え?
ん? いや3本だし
ああそういうことか
もう今回休みみたいなもんやなと
目通してる量はそんな変わってないんだよ
そうね
収録時間だけだから短い
それはそう それはほんとにそう
いやー まあ
まあ目通してる量は俺は少なかったな 今回は
ちゃんと押してますよ
ほぼ読んでないわ なんか
すっこんで終わりの時
読んでもいいかなって気持ちに
いやーでもそうね まあ波がありますな
来週 来週 来週なー
まあ来週 今んとこはって感じなんだよな
まあでも裏カットとかに期待しつつ
所属は?
所属
まあ日本勢の皆さんはね 多分夏休み撮ってる方も多いと思うね
いつかサイト記事書いてる
GitHub CEOの辞任のレターはちょっと気になるけど
まあでもここで紹介することにならないから
ちょっと興味ある方読んでください
はい そんな感じですか?
はい そんな感じです
よし じゃあ
いやー
これも間違いないで
いやマジ首痛え
ほんとに首痛え
体シフォンですから
ストレッチポール
ストレッチポール やるか
やりましょう
ストレッチポールがあれば大体何でも解決
ストレッチポールをね 信用しすぎだよそれ
でもなんかパーソナルジムの人とか
その別の人が通ってるパーソナルジムの人とかもすごい
言ってたよ
これあればいいっすよって
まあ
何がいいのかよくわかんないけど
万能ではあるし
その伸ばしにくいところを伸ばせるっていう意味ではかなりよくて言ってるんだけど
また元気になってお休み
来週みんなが会えるように頑張ってください
いやーわしさー
まあいいや
いやー
なんかまあいいことなんだけど
忙しいなーって
そうね
いやー
まあ
9月ですか
僕らのクギリだと9月の松井クギリなんで
1周年に合わせて
マッチポンプ記事
頑張ろう
頑張るか
1周年いつよ
1周年初回が
初回収録が
9月5日なんで
3週間後ぐらいですね
初回収録が9月5日?
じゃあすぐじゃん
そうだね
初回なんてめっちゃ頑張って
なんか小ノート書いてるじゃん
偉いな
それで言うと小ノートは
まあでもいいや文字書きおくしやってるし
みんなまあいいです
そっか
どうしよう
静かなインターネットに下書き書いてある
おごみっぽんしたためよ
はい
はい
じゃあそんな感じで
皆さん来週も
お楽しみにしててください
見残したことないですか
ないっす
ないっす
じゃあ
おやすみなさい
おやすみなさい
