G-Core Labs S.A.というルクセンブルク大公国にある会社のホスティングサービスが利用しているIPアドレスから送信されている形跡がある．
　ルクセンブルグは，フランスとドイツとベルギーに囲まれた人口62万人の小国だけど，経済的には992年以降一人当たりのGDPは世界首位で，とても豊かな国だそうです．税率が低いのでIT企業が本社を移しているそうで，Skypeは完全に本社機能がここにあるのだとか．楽天もルクセンブグルに欧州本社を置いてるんだそうで．というような国からなので，フィッシングメールが来るのも不思議ではなさそう．

　IPアドレスの部分にメアドっぽいものが入っていたので，そのドメインを調べてみた．


　wwはワールドウィングの略なのか．　サイトにアクセスしてみる．


　なるほど，Adobe Flashをトップに設置しているあたり，長期間メンテナンスされてないサイトのように見える．
　このWebサーバのIPアドレスを調べると，これは株式会社 KDDI ウェブコミュニケーションズの管理するIPアドレスの模様．

　そして添付ファイルのHTMLを見ると，BASE64でエンコードされ難読化されたデータがあった．



　これをデコードしてみたら，誘導先のURLが出てきたのでトレンドマイクロで評価．


　フィッシングサイトだと判定．

　ここまで調べて既視感があったので，思い出したら【緊急通知】 【info】 さんへの新しいボイス メッセージ ActiveMailを使った迷惑メールと同じ感じでした．

　前回と全く同じように大塚商会のメールサイトを確認したら，不審なメールが増えているようです．



　今回の場合，ワールドウィング静岡のメールアカウントが乗っ取られて，送信に使われたような感じですね．