« 2011年2月 | トップページ | 2011年4月 »

2011年3月の記事

2011年3月31日 (木)

Stuxnet攻撃の特徴と対策

IPAセキュリティセンターから「脆弱性を狙った脅威の分析と対策について Vol.5」が公開されています。

このレポートは、Stuxnetという攻撃について解析を行い、攻撃の特徴と対策をまとめたものです。

その中で、私個人が特に興味があったのは、以下のくだりです。

4.解析の困難さについて
4.1 検体の特徴による困難さ
今回の検体は以下の理由により、解析が困難な点がありました。
 複数のコンポーネントを持ち、main.dllは約4800の関数(内20を超えるExport関数)
を持つなど非常に多機能であった
環境に強く依存するため、外部サーバとの通信部分を解析で実際に動作させることが困難であった
特定の産業制御システムに関する部分については、このシステムについての知識不足やシステム自体の用意が困難であることから、解析できなかった

4.2 外部環境の変化による困難さ
今回の解析では、このマルウェアと通信を行う外部サーバがすでに閉鎖されていたため、実際の通信内容を取得することができず、その通信によって最終的にどのようなことが起こるのかの特定には至りませんでした。
Stuxnetは一般に広く知られるようになってから半年以上が経過しており、検体解析時点で外部サーバが閉鎖されていたことを考えると、その目的や実際の動作を理解するためには、より迅速に検体取得、解析を行う必要があると考えられます。

なぜ、解析が難しかったのか、対策が難しかったのか、それもまとめられています。
なるほど、今後の産業制御システム関係での対策では、かなり参考になりますね・・・。

| | コメント (0) | トラックバック (0)

2011年3月30日 (水)

経済産業省「平成21年度 情報セキュリティ市場調査報告書」公開

経済産業省から、「平成21年度 情報セキュリティ市場調査報告書」が公開 されています。

これは、平成16年度から始まった調査で、今回で5回目の報告書公開となります。(平成18年度の報告書、なし)
市場としては、ゆるやかではありますが、上昇しているということです。

新しい動きとしては、「クラウドコンピューティングの普及とセキュリティ課題」「IPv6への移行とそのセキュリティへのインパクト」などがあげられています。
これらが、情報セキュリティ市場というよりも、日本のICTや社会経済、国民生活を大きく底上げして欲しい、と思っています。

| | コメント (0) | トラックバック (0)

2011年3月29日 (火)

「情報セキュリティ早期警戒パートナーシップガイドライン 2010年版」公開

「情報セキュリティ早期警戒パートナーシップガイドライン 2010年版」がIPA・JPCERT/CCのページで公開されました。

今回の改訂では、以下の点が追記されています。

 ・製品開発者と連絡が取れない場合に対する方針について(本文、付録8、付録9)
 ・発見者への情報非開示依頼を取り下げる手続き(本文)
 ・セキュリティ担当者のための脆弱性対応ガイド(付録10)

 付録10の「セキュリティ担当者のための脆弱性対応ガイド」は、セキュリティ担当者を対象とした全般的な脆弱性対策を解説したものになっています。これが、新規追加のガイドですね。

<報告書>
IPA掲載ページ

「情報セキュリティ早期警戒パートナーシップガイドライン 2010年版」

・付録5抜粋編 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」

・付録6抜粋編 「ウェブサイト運営者のための脆弱性対応ガイド」

・付録7抜粋編 「ウェブサイト構築事業者のための脆弱性対応ガイド」

・付録10抜粋編「セキュリティ担当者のための脆弱性対応ガイド」

・パンフレット「情報システムを安全にお使いいただくために」

「ガイドライン2010年版の変更点」

JPCERT/CC公開ページ

| | コメント (0) | トラックバック (0)

2011年3月28日 (月)

SSL認証局が偽の証明書を発行

ITmediaの記事「SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ」からです。

認証局(どうやら、CAではなくRAのほうらしい)が偽の証明書を発行してしまったようです。
原因は、アカウント情報を取られて、その権限を悪用され偽の証明書が発行、ということのようです。

問題の発覚後、認証局は証明書を失効させ、Firefoxでは偽の証明書をブロックするアップデートを公開するなどの対応がされたようです。

アカウント情報を取られ不正をされる、という手口は、すでにGumblarなどで使われているものです。
今回のように、認証局やクラウドサービスなどの管理のアカウント情報などが、今後はますます狙われるようになっていくことでしょう。
今まで以上に、アカウント管理、アクセスコントロールが重要になっていますね。

| | コメント (0) | トラックバック (0)

2011年3月25日 (金)

「2011年版 10大脅威 進化する攻撃」公開

IPAセキュリティセンターのHP「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」を公開からです。

さて、2011年度版の10大脅威は、以下の通り。

「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」

第1位 「人」が起こしてしまう情報漏えい
 昨今の情報漏えいの特徴の一つとして、「人」の行動によって引き起こされる点が挙げられ、以前よりも大きな脅威となってきています。2010年は、ミニブログサービスやSNS(ソーシャルネットワーキングサービス)等ウェブサービスを使用し、組織内部の情報を暴露する事例がありました。

第2位 止まらない!ウェブサイトを経由した攻撃
 2009年に引き続き2010年も、ウェブサイトを経由した攻撃が頻発しました。ウェブサイトを経由した攻撃はウェブサイト運営者および一般利用者、双方が被害を受けます。。

第3位 定番ソフトウェアの脆弱性を狙った攻撃
 ソフトウェアの中には、多くの人が使用している、いわゆる定番ソフトウェアが存在します。2010年も定番ソフトウェアに存在する脆弱性を狙った攻撃が頻発しました。ソフトウェアの定期的なアップデートを行うことが重要です。

第4位 狙われだしたスマートフォン
 近年スマートフォンの普及が加速しています。スマートフォンの普及により、スマートフォンユーザを狙ったウイルスが出現するなど、脅威が顕在化してきました。

第5位 複数の攻撃を組み合わせた「新しいタイプの攻撃」
 2010年、海外で制御システムの誤動作や特定企業の情報窃取を目的とした攻撃が行われ、一般紙等で報道されました。これらの攻撃は、特定の企業や個人を狙い、複数の攻撃を組み合わせることで、従来は不可能と考えられていたシステムにまで攻撃の手が及んでいます。IPAでは、本攻撃を「新しいタイプの攻撃」と名称付けをしています。

第6位 セキュリティ対策不備がもたらすトラブル
 2010年、ウェブサイトのセキュリティ実装不備に起因した問題が発生し、問題発覚時の対応の不手際もあり、社会的な問題にまで発展しました。設計・開発時のセキュリティ対策に加え、運用時の対策・対応も重要です。

第7位 携帯電話向けウェブサイトのセキュリティ
 2010年は、携帯電話向けウェブサイトのセキュリティ実装の問題が注目を集めました。携帯電話向けウェブサイトの構築事業者は、安全性を考慮したウェブサイトを構築する必要が求められます。

第8位 攻撃に気づけない標的型攻撃
 2009年に引き続き2010年も国内外で標的型攻撃が確認され、一般紙等で報道されました。標的型攻撃は、特定の個人や組織、企業、部門に向けて、知人や取引先企業になりすまして、ウイルスを添付したメールを送付したり、メール本文上のリンクから悪意あるサイトに誘導して、情報窃取等の危害を加える手口です。

第9位 クラウド・コンピューティングのセキュリティ
 クラウド・コンピューティングを利用したサービスは、数年前より新しいビジネスモデルとして注目を集めており、企業への普及が進んでいます。一方、セキュリティ上の問題についても徐々に問題が顕在化し始めており、インシデントの発生や新たな脅威が公表されています。

第10位 ミニブログサービスやSNSの利用者を狙った攻撃
 近年、ミニブログサービスやSNS(ソーシャルネットワーキングサービス)の利用者は爆発的に増えています。利用者の増加に比例するように、利用者を狙った攻撃も増えてきています。

今回私個人としては、スマートフォン、ソーシャルネットワーキングサービス、クラウド・コンピューティングなどが、特に目に留まりました。
ウェブサイトを経由した攻撃も相変わらず多いようです。

<参考・過去の10大脅威>
「情報セキュリティ白書2010 第2部 10大脅威 あぶり出される組織の弱点!」

「情報セキュリティ白書2009 第2部 10大脅威 攻撃手法の『多様化』が進む」

「情報セキュリティ白書2008 第2部 10大脅威 ますます進む『見えない化』」

「情報セキュリティ白書2007年版 10大脅威 「脅威の“見えない化”が加速する!」

「情報セキュリティ白書2006年版 10大脅威「加速する経済事件化」と今後の対策」

| | コメント (0) | トラックバック (0)

2011年3月24日 (木)

枝野官房長官から学ぶ危機管理

最近、一躍脚光を浴びている「日本のジャック・バウアー」こと枝野官房長官。
なぜ、枝野官房長官が脚光を浴び、支持されているのか。

「枝野官房長官から学べる10のこと:危機管理広報の視点から」という記事に、その理由がまとめられています。

1. しっかりとした口調で、ゆっくりと、文節を切りながら説明する。
2. 原稿を読まずに自分の言葉で話す。
3. 記者を指名する際、回答する際に目を見て答える。
4.
(放射能漏れしているなどの)可能性を否定せず「可能性はあるが」と受け止める。
5. 専門家の判断が必要な部分については、その旨を述べつつ、自らの見解を示す。
6. 誤解が起きそうなところを繰り返し、説明する
。(12日時点の上の動画の冒頭や、15日時点の4号機の火災に関する説明)
7. 最大の関心事といえる放射能の身体への影響についてきちんと説明する
(数値だけではなく、放射線を浴びた時間が健康に影響を与えることの説明など。「毎時」が省略されている場合がある)。
8. 質問に対して回避的な答えはせずに、事実ベースでできる範囲の回答をする。
9. スポークスマンとして常に登場する。
10. 国民一人ひとりができることを具体的に説明する
(節電に協力を、チェーンメールをしない、買いだめをしない等)。

この記事は、「危機管理広報の視点から」となっていますが、情報セキュリティの業務をするもの全般にも非常に参考になる内容です。
私も、他人に話したり、書いたり、という説明の際には、上記のようなことを心がけたいと思います。

| | コメント (0) | トラックバック (0)

2011年3月23日 (水)

事業継続管理 (BCM) に関する特別レポート

Computerworld.jpの記事「震災を受け情報システム部門が直ちに取るべき行動とは―ガートナーが指針を公開」からです。

ガートナー・ジャパンのHPで「東日本大震災における情報システム部門の行動指針:計画停電にどう対処するか」が公開されています。

この指針では、自社のデータセンター、オフィスおよび在宅勤務、の2つに分けて、以下のような事業継続管理上必要な行動指針が示されています。

・データセンターに自家発電装置を保有している企業は、燃料消費をシミュレーションしながら、自家発電装置の稼働で計画停電を乗り切る。また、燃料が底をつく最悪の場合に備えて、セカンダリ・サイトの利用を検討する。
・データセンターに自家発電装置を保有していない企業は、各マシンを停止順どおりに確実にシャットダウンさせ、計画停電終了後に立ち上げるための対策を実施する。
・オフィスビルに設置されているユーザー側の機器 (デスクトップPC、サーバ、通信機器等) については、計画停電に際して適切なシャットダウンを行う手続きを確立する。また、オフィスには、通常は操作の不要なオートロック等の設備がある。計画停電時には、こうした設備についても操作が必要になることがあるが、管理を担当する部門が意識していない場合が多いため、情報システム部門からも注意を喚起する。
・公共交通機関の運行が不安定なことから、在宅勤務を余儀なくされる従業員が出てくるため、自社に最適な臨時の在宅勤務ポリシーを策定し、臨時サポート体制の早期の確立を目指す。ただし、臨時の在宅勤務従業員の増加や個人所有PCの利用による情報漏洩のリスクには十分配慮する。

その他にも、いくつか事業継続管理 (BCM) に関する特別レポートが公開されています。
この機会に読んでおきたいと思います。

<事業継続管理 (BCM) に関する特別レポート~ガートナー・ジャパン>
「東日本大震災における情報システム部門の行動指針:計画停電にどう対処するか」

「2011年の展望:プログラム管理の誤りがBCMを沈没させる」

「灰じんからの再起:アイスランドの火山噴火に学ぶ事業継続管理」

「事業継続管理者の概要」

| | コメント (0) | トラックバック (0)

2011年3月22日 (火)

震災関連ITキーワード

@ITの「震災関連ITエンジニア向け参考記事一覧」を見てみました。

その、キーワードを見てみると、電源管理、PCリモート操作、バックアップ/復元、災害復旧、事業継続/BCP、リスクマネジメント、メンタルヘルス、データセンター、クラウド/SaaS。

さすがに、「個人情報保護」なんてないですよね。
現在、実施している情報セキュリティ対策とかけ離れているような組織も多いのではないでしょうか。
機密性・防止偏重の情報セキュリティ対策から、可用性・対応重視の情報セキュリティ対策へ、変わっていかなければなりませんね。

ちなみに、NISTSP800シリーズでは「可用性は、組織におけるセキュリティ上の最重要目標とされることが多い」とされています。

| | コメント (0) | トラックバック (0)

2011年3月18日 (金)

今、情報セキュリティの専門家に求められる行動

今日も震災で感じたことを書いてみたいと思います。

今、情報セキュリティの専門家に求められる行動とは、どんなものなのか。
それは、以下のような倫理のガイドラインや規約から知ることができます。

倫理とインターネット – RFC 1087

インターネットのアクセスと利用はすべてのユーザーに共通の権利であり、そのことを意識して利用しなければならない

以下に挙げる行為は、非倫理的かつ許容できない
・インターネットの資源への認可されていないアクセスを得ようとすること
・インターネットの意図された利用を混乱させること
・そのような活動を通じて資源(人、能力およびコンピュータ)を無駄にすること
・コンピュータベースの情報のインテグリティ(完全性)を破壊すること
・ユーザーのプライバシーを侵すこと

●(ISC)2倫理規約(Codes of Ethics)

国家の安全性を高め、個人に対する責務および相互の義務を果たすには、最高レベルの倫理行動規範に従う必要がある
よって、本規約の厳密な遵守は認証(CISSPのこと)の条件である

1.社会、国家、およびインフラを保護する
2.法律に違わず、公正かつ誠実に責任を持って行動する
3.十分かつ適切なサービスをプリンシパル(当事者)に提供する
4.専門知識を高め、維持する

社会、国家、およびインフラを保護を第一とし、どんな状況においても、前向きかつ倫理的に、公正かつ誠実に責任を持って自分の役割を全うする。事実(そのためには、情報を識別できなければならない)をもとに、判断と行動し、必要かつ十分なサービスを提供できるように努める。それが情報セキュリティの専門家に求められる行動だということです。今、私はそれを改めて肝に銘じて、判断や行動をしていこうと思っています。

| | コメント (6) | トラックバック (0)

2011年3月17日 (木)

情報セキュリティで優先されること

震災の影響等で、久しぶりの更新となりました。
私は地震発生時に福島県にいたために、少なからず影響を受けました。
しばらくは、ここではこの震災から考えたことを中心に書いていきたいと思います。

今回のような災害が発生すると、事業継続が重要であることがあらためて実感されました。
しかし、事業の継続性よりも重視されることがあります。
それは、まず人命の安全の確保、次に損害・影響の極小化です。
何より、この2つが優先されなければなりません。
これは、他の業務でも情報セキュリティでも全く変わりません。

そのためには、何を知り、何ができなければならないか、従来の情報セキュリティの教育ではほとんど示されていないと思います。
今後、情報セキュリティの業務をする者も、このようなことをもっと学習する必要があると思います。

| | コメント (0) | トラックバック (0)

2011年3月10日 (木)

「Facebook」人気に便乗した攻撃が相次ぐ

日経ITproの記事「「Facebook」人気に便乗した攻撃が相次ぐ」からです。

Facebookの様々な機能を狙った攻撃が相次いでいます。

この記事では、

・デザイン変更後の絶妙なタイミングで届いたスパムメール
・写真閲覧を促す偽リンクをFacebookのチャット機能で送信
・Facebookのチャット機能を介してフィッシングサイトへ誘導

などが取り上げられています。

この記事にもあるとおり「人気サービスに便乗する攻撃は常とう化」しています。
インターネットを使う限り、サービスに便乗した攻撃に対抗していかなければならないわけですね。

| | コメント (1) | トラックバック (0)

2011年3月 9日 (水)

「平成22年中のサイバー犯罪に関する統計情報」公開

警察庁から、平成22年のサイバー犯罪に関する統計情報が公開されています。

平成22年中のサイバー犯罪の検挙件数は6,933件(前年より3.6%増加)となり、統計を取り始めてから過去最多となったようです。
ただし、都道府県警察の相談窓口で受理したサイバー犯罪等に関する相談件数は75,810件で前年より9.5%減少、平成22年中の不正アクセス行為の認知件数は1,885件で前年と比べ910件減少となっています。

<公開情報・警察庁>
平成22年中のサイバー犯罪の検挙状況等について

平成22年中の不正アクセス行為の発生状況等の公表について

不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

| | コメント (0) | トラックバック (0)

2011年3月 8日 (火)

Androidマーケットにウイルス混入アプリ

日経ITpro「Androidマーケットにウイルス混入アプリ、50種類以上が公開」からです。

この記事によると米グーグルが運営する「Androidマーケット」において、ウイルス(悪質なプログラム)が仕込まれた海賊版アプリが50種類以上公開されていたとのことで、アプリによっては20万件がダウンロードされたようです。これらのウイルス混入アプリは、いずれも正規の無料アプリを違法コピーした海賊版であり、この海賊版にウイルスを仕込み、Androidマーケットで公開していたようです。

判明したアプリは、すでに米グーグルにより端末から遠隔削除され、開発者のアカウントも停止されたようです。
応急の対処はされたものの、今後のウイルス混入アプリ検出については、別の対策が必要となりますね。
さて、どのような対策になるのか。私も「Androidマーケット」は利用しておりますので、注目しております。

<関連参考記事>
「Google、Android Marketで公開したマルウエアの対策を明らかに」~日経ITpro

「Google、Android Marketの悪質アプリに対処――遠隔操作で端末からも削除」~ITmedia

| | コメント (0) | トラックバック (0)

2011年3月 7日 (月)

「情報セキュリティ技術動向調査(2010年下期)報告書」公開

IPAセキュリティセンターから「情報セキュリティ技術動向調査(2010年下期)報告書」が公開されています。

●情報セキュリティ技術動向調査(2010年下期) 目次

序 2010年下期の技術動向 - 今日のセキュリティエンジニアリングの話題
1. Ruby on Rails とセキュアプログラミング
2. Apache Shiroアプリケーションフレームワーク
3. fanotify(filesystem wide access notification)
4. 暗号鍵管理システム設計のためのフレームワーク
5. Personal Data Service
6. DNSSEC展開の動向
7. RPKIを用いたルーティング・セキュリティの動向
8. OpenFlowによるネットワーク分離
9. トンネリング技術のセキュリティへ上の弊害とIPv6移行技術における経路ルー プの危険性

報告書は、こちら

「6. DNSSEC展開の動向」「9. トンネリング技術のセキュリティへ上の弊害とIPv6移行技術における経路ルー プの危険性」の2つは、特に今年以降重要ですよね。

| | コメント (0) | トラックバック (0)

2011年3月 4日 (金)

「Facebookストーカー発見ツール」装うスパム

(ちょっと前の記事ですが、ここで書き忘れてましたので)ITmediaの記事「「Facebookストーカー発見ツール」装うスパムの手口発見」からです。

この記事によると、今回の手口は

「profile view」「creepers」といった言葉を含むドメインでサイトを設け、「自分のFacebookプロフィールを誰が最も閲覧しているか、何回閲覧したかが分かるツールを提供する」と宣伝する。ユーザーがサイト上のインストール手順に従って、所定のコードをWebブラウザのアドレスバーに貼り付けると、Facebookアカウントをスパムメッセージの拡散に利用されてしまう。スパムメッセージはFacebookのメッセージ機能やウォールへの投稿を介して広まり、ストーカー発見ツールの宣伝文句が書かれている。

というもの。

「誰に見られたか」というのは、やはり気になるのですね。
そして、ネットストーカーも増えているので、それも気になっているユーザーも増えているわけです。
そのような心理をよくわかっているのですね。
「誰に見られたか」は、企業のプロモーション担当者なども気になるはずですので、そのような方もターゲットになるでしょう。

facebookでは、mixiやGREEのような「あしあと」という機能はありません。
そのうち、そのような機能が追加されるような気がしますけど・・・。

| | コメント (2) | トラックバック (0)

2011年3月 3日 (木)

狙われるソーシャルネットワーク

日経ITproの記事「ハッカーが最も注目しているのはソーシャル」からです。

この記事では、TwitterやFacebookのようなソーシャルネットワークに攻撃者が最も注目しているとされています。

さらに、

 私たちは1年ほど前にソーシャルネットワークを狙ったトロイの木馬を発見した。これはTwitterやFacebookのようなソーシャルネットワークを介して広がっていくワーム型のものだ。このマルウエアが使っている攻撃手法自体はドライブバイダウンロードのような比較的古典的なものだ。ユーザーのシステムにぜい弱性があると、そこから感染する。

 ソーシャルネットワークを狙った攻撃の特徴は、それらの攻撃へ誘導するリンクが「友達」などでつながった人から送られてくることだ。「この場所がよかったよ」「このファイルが面白いからダウンロードしてみて」といったメッセージと一緒にリンクが送られてくる。送られてきた人は、送信してきた相手がいい人で信頼しているものだから、疑わずにクリックして感染してしまう。そして、そのメッセージを受け取った人が、今度は自分の家族や友達に広めてしまうかもしれない。

 もちろん、これはそれを送ってきた人が悪いのではなく、悪いのは弱点があるのはソフトウエアだ。言ってみれば、ソーシャルネットワークで感染してしまう場合のぜい弱性は、人間同士の間の信頼関係にあることになる。

とのこと。

つまり、「友達」という既存の信頼関係が悪用されるということです。
脆弱性を解消するだけではなく、ソーシャルネットワークでの信頼関係とはどういうものなのか、を理解しておく必要もありそうです。

| | コメント (0) | トラックバック (0)

2011年3月 2日 (水)

制御システム向けセキュリティ自己評価ツール「SSAT」

JPCERT/CCのHPで、制御システム向けの簡便なセキュリティ自己評価ツール「日本版SSAT(SCADA Self Assessment Tool)」が紹介されています。

制御システムにおけるセキュリティの資料がかなり揃ってきましたね。
制御システムではは、特定の制御系OS(シーメンス者製)ものだけの固有の問題であるとか、日本の制御システムはネットワークにつながっていないはずだからリスクはない、などとおっしゃる方も多いのですが、ほんとうにそうなんでしょうか・・・。

<参考資料>
●制御システムセキュリティガイドライン(全般)
グッド・プラクティス・ガイド

制御システム環境におけるサイバーセキュリティ文化の支援を目的とした運用セキュリティ(OPSEC)の使用

制御システムのサイバーセキュリティ:多層防御戦略

人的セキュリティガイドライン

推奨プラクティス:工業用制御システムにおけるサイバーセキュリティインシデント対応能力の開発重要社会インフラのためのプロセス制御システム (PCS) のセキュリティ強化ガイド

NIST SP 800-82 産業制御システム(ICS)セキュリティ (ドラフト)

| | コメント (0) | トラックバック (0)

2011年3月 1日 (火)

「セキュリティ担当者のための脆弱性対応ガイド」など、公開

IPAから、「セキュリティ担当者のための脆弱性対応ガイド」が公開されています。

このガイドは、組織内で脆弱性対策の知識を必要とするセキュリティ担当者を対象としたもので「脆弱性に起因するトラブルや影響の事例、事業者に委託する際の考え方などを含めた、全般的な脆弱性対策を解説」という内容になっています。

以下のような事例も掲載されています。

●トラブル事例
・事例1 ウェブサイトへの不正アクセスによる事業中断
・事例2 ウイルス感染が元で起きるウェブサイトの改ざん
・事例3 ウェブサイトへのフィッシング詐欺サイト設置

●対策項目例
・ソフトウェア構成や変更状況の管理
・脆弱性情報の収集
・脆弱性検査の実施
・修正プログラム(パッチ)の適用
・契約時に合意すべき事項
など

その他、以下のような資料も公開されています。

「組込みソフトウェアを用いた機器におけるセキュリティ(改訂版)」

「情報システム等の脆弱性情報の取扱いに関する研究会」2010年度報告書

「Web Application Firewall(WAF)読本 改訂第2版」

また、資料がたくさん公開される時期がやってきました。年度末ですね・・・。

| | コメント (1) | トラックバック (0)

« 2011年2月 | トップページ | 2011年4月 »