サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
画力アップ
wakatono.hatenablog.com
Print Nightmare(CVE-2021-34527)、修正プログラムがまだ出ておらず、Workaroundだけが出てる状態だけど(2021年7月7日 1:26時点)、この2つあるWorkaroundのうちの1つが一見面倒に見えて、1つがお手軽だけどいろいろと大変なことになる、という話し。 追記:修正公開されたようです(2021年7月7日 10:00時点の情報)。が、こんだけ迅速だと地雷埋まってないか心配。 Workaround自体は、以下のページに記述されている。 msrc.microsoft.com Workaroundは2つ。Print Spoolerサービスを停止するか、ローカルポリシーを変更するか~Print Spoolerサービス停止は大いなる罠~ Print Spoolerサービスの停止はものすごい罠で、「Print Spoolerサービスを停止する=ローカルにつなが
久々に(技術的にも実務的にも)良い意味で考えさせられる対応報告書を読んだ。 コインチェックの対応報告書がそれ。 読み解いてみたけど、存外に大変なことに(主にオレが書いた文の分量が)…。 コインチェックからリリースされたたインシデント対応報告 読んでいて、真面目な意味で面白く、かつ自分で考えようと思えばいろいろと考えられる報告書は、久しぶりに出会った。オレもこういう報告書を書けるようになりたい…。 corporate.coincheck.com 真面目な意味で「どこが」面白いのか?(あくまで私見) あくまで私見ではあるが、「監視業務にてレスポンスの遅延を検知し関連システムの調査を開始」という1行が、ものすごく興味をそそられた。 その次に「第三者によりドメイン登録情報が変更されていたことを確認」という結果につながるのが面白い。 この間の経過時間は、おおよそ7時間ちょっと。 その7時間にどんな調
書いたら長くなった…けど、何らかの議論のネタなりになればということで、とりあえず放流する。 「テレワーク」というと、なかなか魅惑なパワーワードだが、ちょっとアタマを巡らせると、かなり大変であることがわかる。 大変といっても、実は文章の読み替えをやったり考え方を柔軟にしたりということをできれば、あんまりハードルにならないのかもしれないが、考えないといけないことをとりあえずざっと書いてみた。 とりあえず、一つの思考実験的に書いたものなので、考え違いや抜け漏れあるかもしれないが、そこはご容赦を。 1. 制度面の課題 テレワークというと、オフィスにいなくても仕事が出来る、とポジティブに考える人が多いが、会社の就業規則などの面を考慮すると、結構な難事が出てくる懸念がある。 とはいえ、(最初に結論を書いてしまうが)何のための業務で、どんな成果を期待するのか?が明らかになれば、下記の話は(本質的には)問
IPAから続報が出ていたので、ちょっと見てみました。 www.ipa.go.jpそこには、「どうやったら警告が出てくるのか?」の解説がありました。 なんだ、インストールした後に「買う」とすると、あの警告が出てくるのね。ということで、またまた検証してみました。いろいろと釈然としないのもあるので、とりあえずスッキリするために。 なお、同じことやってマシン壊れたとか調子悪くなったとか言われても、こちらで責任取れないので、試すときは自己責任で。 まずは「Zoom」を起動して「Purchase」を選ぶ これは、上記のIPAのページでも紹介しているものですが、とりあえず「Zoom」を起動して出てくる画面から「Purchase」を選びます。 「Zoom」を起動した時の画面 一番上を選ぶと、「警告画面」が出てくるはず…なので、確かに警告画面は出てきたのですが、ウチでは違うものが出てきました。 我が家の検証
みんな大好き&私も大好きなZoomですが、最近偽物が増えてるという噂を聞きます。 japanese.engadget.com で、我らがにゃん☆たく先生も検証されている。 ただ、にゃん☆たく先生の検証範囲は、「これは僕が使いたいリモート会議のZoomじゃない!」という結論で終わっているように見えるので、じゃあそのZoomはどのZoomじゃい?というのを確認してみました。 なお、本稿では以降、、いわゆるリモート会議サービス「じゃない」Zoomを「Zoom」と称します。 まずはかの「Zoom」をインストール 「Zoom」をどうやってインストールしたか?はおいときます。同じことやって「PCが壊れたどうしてくれる」と因縁つけられても嫌なんで。 普通にインストーラをダウンロードして実行することで、普通にインストールされたわけですが、なるほど。インストール直後に以下のような画面が。 インストール後の実
またも新たな脆弱性…。 「Type 1 Font Parsing Remote Code Execution Vulnerability」ですか… この脆弱性は、 Adobe Type Manager Libraryに存在しており、悪意ある細工がなされたファイルが置かれたフォルダをExplorerで開くと、コードが実行される「かも」という剣呑な代物。なぜ「かも」としているのか?については後述する。 ADV200006 | Type 1 Font Parsing Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006 (こちらは英語版) https://portal.msrc.microsoft.com/ja-jp/secu
月刊マイクロソフトで修正されたCVE2020-0796のWorkaroundに関連した情報が、油断するとわからなくなる書き方になっている*1ので、覚書。 記事自体は後述するが、別にこの記事が悪いというわけではなく、用語自体をきちんと押さえておかないと、一気に混乱する恐れがある、というだけ。 SMBv3 ServerとSMB Client SMBv3 Serverと書かれているが、別にこれはWindows Serverでしか稼働していないというわけではない。Windows 10などのClient系Windows OSでも普通に動作している「Server」サービスに実装されているのが、SMBv3 Serverだ。 同じようにSMB Clientも、Windows Clientでしか稼働していないというわけではない。「Workstation」サービスに実装されているのがSMB Clientである
私の勤務先もご多分にもれず、原則テレワーク状態に。 そんな中、この短期間に3種類のオンライン会議システムを使うことになったので、個人的な所管ではあるけど書き留めてみようかなと思う。 Zoom 今やオンライン会議サービスの代表的な選択肢になっている感のあるモノ。 無償で使えるのは40分まで。あとは契約しているサービス内容によって、時間とか付加サービスの内容が変わる風。 遅延も少ないし、共有画面もきれい。これ使ってから、オンライン会議のイメージがガラッとかわった感。 Microsoft Teams Microsoftが提供するコミュニケーション基盤。 Business Chatの分野では比較的新参という印象を受ける。 これもまた、オンライン会議の機能を持っており、会議へのinviteはOutlook(筆者が仕事で使ってるのは、Outlook 2016)からボタン一発で行えるのが便利(プラグイン
標的型攻撃に「ファイルレスマルウエア」が使われるようになって久しいが、標的型攻撃を仕掛けるモチベーション(きっかけ/やる気の源)は一体何か?を考えてみよう。 仕掛ける相手の持ってる情報が欲しい できれば長い期間、情報を継続的に獲得したい でも、仕掛ける相手に侵入するのは結構手間 となると、何らかの方法で(だいたいはHTTP/HTTPS経由)情報を持ち出す手段を攻撃を仕掛ける相手に仕込みたいとなる。 ファイルレスマルウエアは、単純にファイルをスキャンするツールではみつからない。 しかし、単にメモリ上にしか存在しないマルウエアは、永続性の観点で不安定である。「再起動したら消える」脆弱な存在だ。 それでは、永続化するためにはどうしたらいいのだろうか。Windows上でファイルレスマルウエアを永続化するのは、(わりかし)容易かなと思う。以下、例えばこんな方法がある、ちうのを挙げていく。 サービスに
思うところあって、TSURUGI Linuxを使ってみた TSURUGI Linuxは、デジタルフォレンジック向けのLinuxディストリビューション。 デジタルフォレンジックに使えるLinuxディストリビューションには、例えばKali LinuxやSANS SIFT Workstationなどがあるが、今回あえてTSURUGI Linuxを使ってみたのには理由がある。 わりかし新しいディストリビューションである Acquire向けの機能に絞ったISOイメージを配布している 起動するだけであれば、誤ってHDDイメージを壊すことがない 新しいのはまぁいいとして、なぜ2,3が重要なのか?を以下に述べる。 まずは2から。実際にフォレンジックをやったことある人ならば経験ある人もいるかもだけど、HDDイメージを取得する時に、普通に配布されているLinuxディストリビューションではうまくいかない(そもそ
2ヶ月前にGMO-PGさんが受けた不正アクセスの調査報告書が出てたので、読んでみた。 …所感だけ。 専門家アドバイザーが少し偏り気味でないかい?と思ってたり。 実は結論が少々偏ってたりするなぁ(間違ってるわけではないけど、方向性が偏ってるという意味)…と思っていたのだけど、再発防止委員会の構成を見て納得。 3/10 2:15にインシデントが発覚し、公表が同日18:22に行われている。 関係各所の調整も含めて16時間で公表というのは、個人的な所感では超高速だと感じる。 3/9 18:00にヤバさを認識し、同日21:56にWAFによるブロックを開始したのはGood。 ヤバさを知覚してから対応に入るまでの速度が高速なのはいいのだけど、脆弱性が公開された時刻からGMO-PG側で脆弱性情報を確認し、ヤバさを知覚するまでの時刻に開きがありすぎというのがヤバい。 簡単に脆弱性公開からGMO-PGさん対応
セキュリティ・キャンプに興味がある人に対して、「これまでの応募用紙を見てみたら?」という返事をすることが多いのですが、真意が曲がって伝わっていないか心配なので、すこし補っておくことに。 個人的には、「やる気はあります」とだけ書かれていて、こちらからの設問にほとんど答えていない応募が一番困りました。 これは、「やる気」を見るための応募用紙に単に「やる気はある」と書かれても、どこでそれを測ればいいのかわかりようがないためです。 セキュリティ・キャンプの応募用紙は、「やる気や熱意、興味の見える化」をするためのものであり、全部正答すれば参加できるというものではありません。 過去の応募用紙を見ることで、当然ですが「何を問うてきたか」を見ることはできます。 でも、それに対して自分が答えられないということは、少なくともその応募用紙と格闘して参加した人と比べると、前提知識ややる気、熱意(興味といってもいい
やってもうたw 2016年3月21日追記:記述が足りないなぁというところもあった&Redditで「釣りか?」と書かれてしまってたのもあり、少しautorun.exe関連の追加情報(3/18)とかなぜVirusTotalでの日付が古いのか(あたりを中心に補足してます。 機械式4桁番号を設定してデータを守るLockyメモリというUSBメモリを買ってみた。まぁ、なんかおもしろそうだったしw。 まぁ、ネタとして買ってみたわけだけど、まさかそれ以上のネタ拾っちゃうとは… あくまでリンク先は「Lockyメモリ関連で最近見た記事」であり、それ以上でもそれ以下でもなかったり。 なんとなく嫌な予感がしたので、Ubuntuマシンで開いてみた。 新品のはずなんだけど、autorun.infと意味ありげなRecyclerフォルダがいますよ… autorun.infの中を見てみたところ。 えーと、なんかRecycl
手がかりがほとんどない状態ですが、現在、アマゾンさんで有効なアカウントの収集が何者かによって実施されているような動きが見えます。 事の発端は、アマゾンさんから、以下のようなメールアドレス変更通知が届いたことです。 これがいきなり届くメールアドレスは、アマゾンへの利用登録がなされていないということにほかなりません。 アマゾンに利用登録がなされているメールアドレスの場合は、以下のような画面に飛びます。この画面に飛んでなお「変更する」となった場合には、変更先のメールアドレスの持ち主に「変更するけど心当たりある?」というような内容のメールが、検証用のリンク*1をともなって飛んでいきます。 この画面に飛ばず、いきなりメールアドレス変更された的なページに飛ぶ場合は、間違いなく変更先のメールアドレスはアマゾンへの登録がなされていません。 このため、有効なメールアドレスに巡り会えない場合は、また元に戻して
まぁ,夏に限らんわけですが 改ざんに遭わないのが一番なんだけど,改ざん被害に遭ってしまったらまず最初にどうするか? 改ざんされたと思しきコンテンツをまるごと削除し,バックアップから復旧 バックアップがないので,改ざん箇所を特定の上当該箇所を削除 コンテンツ作成を委託した会社に連絡して直させる …はい,いずれも間違いです. 改ざんされたタイミングで改ざんされたことに気付けるWebサイトオーナはそうそういない. じゃあ,「OSまるごとインストールしなおし」とか「CMSなりを全部入れ替え」となるのか?と言われると,さっきの対応よりはマシだが実は全然不十分.というのも,なぜ改ざんされたのか?根本原因を突き止められていないから. となると,非常におおざっぱではあるけど,とりあえず以下の対処が役に立つ. とりあえずWebサイトそのものの稼働を一旦停止する(Shutdownできればいいけど) Webサイ
という話を同僚としていたのだけど,あまりにナイスな言い換えが提案された…. その名も「Web待ち伏せ攻撃」.オレ的には即採択w なんでもかんでも標的型攻撃に繋げたい方々がいらっしゃるような感もあったり.ちなみにオレは,「なんじゃそりゃ?」という手合いだった. で,水飲み場型攻撃なんだけど,例えば「IEへのゼロデイ攻撃で用いられた“水飲み場型”攻撃」という記事では,水飲み場型攻撃を以下のようにして説明している. 脆弱性の見つかったサイトに侵入し、マルウェアをホスティングしている別サイトへ誘導するHTMLやJavaScriptのコードを注入する。その後は、水飲み場で獲物を待ち伏せるライオンのように、標的ユーザーがアクセスしてくるのを待つ もともとこの種類の攻撃が紹介された文献で"Watering Hole"と書かれていて,これを直訳すると確かに「水飲み場」となるわけだけど,これはいただけない.
出張+イベントが重なり,ほとんどライフ0状態だったりw. 寝て起きたら,だいぶ回復したけどねw 年齢的にギリな方々もいらっしゃるので,あまり参考にならない人もいるかもしれない.それでも,今後のステップアップもしくは爆発的成長の糧になればということで,エントリを書いてみる. 大きくは,以下の2つについて触れる. 「やる気を重視する」のオレ的解釈 1年あるとどこまでできるか 応募用紙に書いてある「やる気を最も重視する」ってのは,今も昔も変わらない. 「これ以上ないくらいにやる気を込めた!」という応募者(落ちたけど)という人も相応数いるのではないか?と感じている. それではいったい,「どこで差が出るのか?」を書いてみようか. 「やる気」と「実力」はある程度比例する 書いてある内容を見ると「実力」はある程度推し量れる 「やる気はあるんだ」と主張する人は多いが,それを他の人に見えるようにしてくれてい
日本各地で改ざん被害が相次いでるようで… piyokangoさんの2013年6月4日の日記に,良い感じでまとまってますが,それを紹介するだけだとそれで終わってしまうのでw,自分なりに読み解いてみたよ! といっても,難読化された内容を読むんじゃなくって,「改ざんされた結果取得されるネタがどういうパターンか?を読み解く」というだけだがw この場合,改ざんされて埋め込まれたスクリプトが動作し,悪意あるネタをダウンロードする,というように仕向けられる.トレンドマイクロさんの場合は,JS_BLACOLE.MTとして検出されるが,オレのところはKaspersky Internet Security 2013を使っているので,Trojan-Downloader.HTML.JScript.cfとして検知された. ちなみに今回のケース,機械的だが何らかの内容解釈を行うプログラムによって放り込まれてる感がある
なのですでに眠気全開,なのです. とか書いていられるような牧歌的な内容でもなんでもなかった… 内容は,2つの質問に対する回答から成る.以下,その2つの質問とそれに対する回答について考察をしてみよう. 回答は以下のとおり.冒頭に「申し訳ございません」という文言とか入ってたけど,内容の解釈には一切関係ないので抜いてある. 当社の不始末により平成24年3月7日〜平成25年4月23日にお申し込み頂きましたお客様の情報に関しては、保管をしておりましたが、平成25年4月23日22時に、セキュリティコードを含む全てのクレジットカード情報のお客様情報を保持するデータベースサーバーより削除しております。 理由としては、当社の決済スキーム上、申込時に決済はしておらず、帰国後の返却を受け請求額確定後に決済をしておりました。そのためにお申込時に入力して頂いたクレジット情報全てを保持しており、その情報を基に帰国後に
何って…↓ もふもふ… 名義とカード番号と有効期限とセキュリティコードと住所…。 ものすごい設計だ…何をどうしたらここまで豪快に漏れるのか…. つうか,近年稀に見る大当たりじゃねえか!助けて!!デッカード!!! ここ最近,日本以外の場所に行くときは,基本はローミング(通話の場合)か現地でSIMを調達する(データ通信の場合)かという形で自分のインフラを準備しています. 例えば台湾などは,この運用で基本うまくいく. しかし,この運用ではうまくいかない土地があるわけです.例をあげるとインドがこのパターンに当てはまります.オレはインドはバンガロールに行ったわけですが, インドでのSIM入手は,いろいろと面倒(基本) 利用可能になったのが帰国日という話も聞く(トラブル事例) バンガロールの空港にSIMを扱ってる売店がない(切実) バンコク(スワンナプーム国際空港)でのトランジットで最長6時間程度の待
なかなか面白い結果が。 スマホを使い始めて、パケット定額サービスを契約しているとはいえ、あれこれ合わせて月額12000円ってのは相当痛いw 自分が使う主なサービスは、テキストベース(メールやTwitter、Facebook、mixi、etc...)であり、少なくともある程度の通信速度が必要な動画再生(例:ニコニコ動画やYoutube)とかSkypeによる音声通話とかはまるで使わないことがわかっている。 この部分の費用をあれこれ削減できないか?と考えていたところに、日本通信×イオンという、一見「?」なカップリング取り合わせによるbmobile イオン限定プランの提供開始がアナウンスされた。 罠は4点。 メールアドレスは必須 このプランの契約1つにつきメールアドレスが個別に1つ必要 20歳未満は契約不可 サービスの月額以外に、契約時の費用として3150円がかかる(カード引き落とし)。 まずメー
ということで(?)、今年度のキャンプの応募締切が近づいてます。 セキュリティ&プログラミングキャンプ2010締切は、7/5(月)17時まで(必着)。 開催に関するあれこれは、takesakoさんのところにいろいろ書いてあるので、そちらも参考に。 気になるツィートがあったりしたので。具体的には以下のような感じ。 セプキャン出たいけど、やっぱり不安だー。 ついていけるかが不安。。。 #spcamp こういう意見が出てくるということは、きっと(そう思ってるのは)ひとりだけじゃないだろう、と思ってみた。 少しだけ、オレ自身の立場でできる応募者候補への応援*1を書いてみよう。 *1:になるかどうかわからんがw 講師やらせていただいたり、実行委員を拝命したりという身として感じていることは、キャンプ自体は触媒というか加速装置のような存在かな、ということ。 重要なのは、「キャンプ自体が何かすごい人材を産み
今日は講演の日なのです(どきどき) 三輪さんによる記事。 オレ自身がいつも気にしてることで、あちこちで言ってることではあるけど、こういう形で再整理&プラスアルファというように出ているのは喜ばしい限り。 トラックバックが飛んできてて、「これならば出せそうかなー」という感じのモノがちょうど出てきたので。 …ほぼ別物だなw 1 Xen の世界へようこそ 1.1 仮想化技術、初めのはじめ 1.1.1 仮想化とは何か 1.1.2 IA サーバーの仮想化 1.1.3 エンタープライズレベルでの仮想化 1.1.4 「Xen 徹底入門」の特長 1.2 仮想化技術の基礎知識 1.2.1 仮想化とは 1.3 仮想マシンの概要 〜その歴史と実装〜 1.3.1 仮想マシンの歴史 1.3.2 仮想マシンソフトウェア 1.3.3 さまざまな仮想マシンソフトウェア 1.4 仮想化のメリットとデメリット 1.4.1 仮想
キャンプの話もぼちぼちと… ええと、今年のキャンプで一番成功した変更は、おそらく以下のものでしょう。 3つの組を設置したこと 応募要項を提示した時点での各組での実施内容の明確化と、(組ごとに(ある程度の)上限を設定して)応募形態をとったこと 組ごとに分野トップクラスの講師/チューターがついてくれたこと(豪華杉w) ランチミーティングと1日目のBoFによるIceBreaking 一番ハードルが高かったのは、おそらく3つの組の設置と、それぞれの組での実施概要を(早期に)開示できるレベルまで詰めるということでしょう。 この話については、昨年度かかわった方々(含むオレ)がヒジョーにきついことになったのを覚えているので、 手を動かすならばこんくらいいるかな レベルとしてはどのくらいかな 実際どんくらい講師/チューターをお願いできそうかな ということをインプットとして、総体として実施できそうな内容を詰
要は家にいてあれこれやってるってことです(汗 現在、KVMのほうでインストール完了したけど、開始から完了までがバカみたいに早いw 順調に動いてます。 一応、起動コマンドラインは以下のとおり。 amd64:/home/wakatono# kvm -m 512 -cdrom /home/wakatono/ja_windows_7_ultimate_rc_x86_dvd_349022.iso -hda /home/kvm/win7-disk.img -boot d -vnc :7 ACPIを無効にしたら入らなかったので、有効にしてます。 以下のような感じでXenの設定作って入れてみました。 これもまたインストール開始〜完了までがバカみたいに早いw で、こいつもまた順調に動いてます。 wakatono@vserv:~$ cat /etc/xen/win7 import os, re arch =
あー…1つやらなきゃいけないことが…orz ライトニングトーク自体久々。 やったのは、Webtunnelの紹介と危険性、そして対応。 プレゼンテーション資料はこちら。 オレは別に、管理が好きなわけでもなければ、品質マニアでもない。 でも、ISMS(ISO27001)、PMS(JIS Q 15001)、QMS(ISO9001)に共通する特徴である「マネジメントシステム」の構築と運用管理には興味があるし、部分的にではあるけど(出来る範囲で)実践してるつもりw JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第1版の6ページ「1. 個人情報保護マネジメントシステムについて」の記述に、以下のような記述がある(わかりやすいように、一部箇条書きにした) 方針を作成し、 それに基づいて計画を作成し(Plan)、 実施し(Do)、 点検し(Check)、
また別モンの病原体もらった?(汗) 情報漏洩の際に、「漏洩した情報に掲載されている内容」で影響を受ける人や、漏洩した情報をもとに引き起こされる事象(想定される事項)に対応するってのは、(普通に)行われます。これがされないのは論外としても… 見落とされがちなのは「つこうた当人」のフォローアップ(つこうた場合ね)。 こうした場合、どうしても「漏洩させるやつが〜」という文脈になりがちなのですが、一般的にインシデントを発生させた人(つこうた人)に話を聞くと、「漏洩させてやった」という人は出てきません。ほとんどが「こうなるとは思ってなかった」というところです*1。 一般的に、脆弱性を突かれてコンピュータを攻撃され、そのコンピュータを攻撃に使われた場合には、そのコンピュータ(の利用者)は被害者であると同時に他者への加害者にもなってしまう、という事故の特性を持ちます。 暴露ウィルスによる情報漏洩の場合も
かんべんしてくだせえorz とりあえず、年始早々のIPAの漏洩ネタが、当事者の懲戒処分という形でまとまりそうな風味なので、mixiに書いた分のうち、オレ自身が書いた部分を掲載しときます。コメントとして書いた部分の表題は、適当につけてますw 先日、年度早々に発生したIPAの職員による情報漏洩について、処分が発表されました。 ・プレス発表 当機構職員の私物パソコンによる情報流出等について http://www.ipa.go.jp/about/press/20090119.html 内容を見ると、「就業規則に基づき」とあるので、真っ当に(懲戒処分の決定に係る)会議体が開催され、その結果こうなったというように読めます。 処分が重過ぎるんじゃないか?もしくは軽すぎるんじゃないか?という話はあるとは思いますが、まぁ妥当じゃないかと思います。勤務先の機密情報は含まれていなかったわけですし、「当機構イベン
いかんいかん(ぁ いつ行くことになるかわからんのでメモ。 要約すると 2009年1月12日から、I-94Wと同等の内容を「事前にESTA使って申請」が必要(外務省のページでは、ESTAの本格導入、という表現を使っている) 米国に滞在する以外には、他国にいくために米国を経由する場合にもこれは必要(ブラジル行くためにJFK寄る場合にも、という意味かな) 一度申請・認可されたらその有効期限は2年。ただし、パスポートの有効期限がこれより前の場合は、そちらの有効期限まで あくまでVWP(Visa Waiver Program(ビザ免除プログラム))による査証免除者が対象なので、ビザ持ってる人は対象外 2009年1月12日までは、ESTAによる申請は任意。I-94Wが必須だが、ESTAの申請を行うことを「推奨」する 2009年1月12日からは、ESTAによる申請は「強制」(本格導入)する。I-94Wは
次のページ
このページを最初にブックマークしてみませんか?
『wakatonoの戯れメモ』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く