このメールは安全です

なにをやるにも安全を気にする必要が出てきています。
そしていろいろなソフトウェアには安全に関連する機能が搭載されてきています。
そんな機能を逆手に取るマルウェアが出てきています。

いまどきのメーラーでは、HTMLメールがそのままリッチな見た目で表示できるようになっていることが多いと思います。
そんなメーラーには、そのメールが安全かどうかを検査して、検査結果をメールの本文などと一緒に画面に表示できたりします。

そういう環境要素を持っているメーラーなら、こんなことができてしまうのです。

• 「組織外から送信されているメールですよ」という警告の表示をHTMLやCSSの機能を使って非表示にする
• 本当は安全性のスキャンなどしていないのに「このメールはスキャン済みで安全ですよ」という表示をHTMLやCSSの機能を使って表示にする

こういったことは、HTMLメール表示処理機能の範囲内で可能です。
そうです、いわゆるバグではないのです。
技術的に考えると処理系の通常の処理範囲で実現できるのです。

こういった性質の事象ですので、この問題の対象範囲は非常に広いです。
GmailでもThunderbirdでもOutlookでも、HTMLメールをサポートしているすべてのメーラーがこの問題に関して根本的に弱い状態と言えます。

ソフトウェアを実装する立場から考えると、HTMLメールをサポートしたメーラーになにかの表示機能を追加しようとするとき、HTMLの機能を使って表示を追加することは非常に簡単で便利です。
が、しかしそれは「そのソフトウェアの正当な実装者以外にとっても同じである」、というわけです。

画面に表示されているものはいろいろあります。
さて、どの部分は疑いなく信用することができる部分なのでしょう。
あなたのメーラーの画面に「このメールは安全です」と表示されたとしましょう。それは誰がどうやって表示しているのでしょうね。

参考記事（外部リンク）：Attackers can hide ‘external sender’ email warnings with
HTML and CSS
www.bleepingcomputer.com/news/security/attackers-can-hide-external-sender-email-warnings-with-html-and-css/