Binanceのフィッシングサイトを見分ける方法

検索エンジンで「Binance」と検索して表示される上位10件の結果のうち、3〜4件はフィッシングサイトである可能性があります。これらの偽サイトは外観が公式サイトとほぼ同じであり、アカウントとパスワードを入力すると即座に情報が盗用されます。本記事では、本物と偽物のBinanceウェブサイトを識別するための5つの具体的な方法を提供します。公式クライアントをダウンロードするには、直接Binance公式サイトにアクセスしてください。モバイル端末の場合はBinance公式アプリを使用し、iPhoneユーザーはiOSインストールチュートリアルを参照してインストールを完了してください。

Binanceの公式ドメインは限られています

以下のホワイトリストを記憶することが重要です：

用途	公式ドメイン
グローバルメインサイト	binance.com
米国サイト	binance.us
日本サイト	binance.co.jp
シンガポールサイト	binance.sg（過去に使用、移行済み）
コンテンツコミュニティ	academy.binance.com
公式ブログ	blog.binance.com
Binance Smart Chain エクスプローラー	bscscan.com
公式メールドメイン	@binance.com / @post.binance.com

上記以外の「binance」という文字列が含まれるドメインはすべて模倣サイトです。以下はその一例です：

binance-cn.com
binancee.com
binance-login.com
binance-app.net
binance.vip
binance.io
web-binance.com
my-binance.com
binance-pro.com

フィッシングサイトの5つの一般的な手口

手口1：文字の置き換え

binanceの文字を類似の文字に置き換えます：

binance.com （i をトルコ語の ı に置き換え）
blnance.com （i を l に置き換え）
binance.co （.com ではなく .co）
binance.com （n を ŋ やギリシャ文字に置き換え）

このような「ホモグラフ攻撃（IDN homograph attack）」は、ブラウザのアドレスバーでは肉眼でほとんど区別できません。

手口2：サブドメインの難読化

binance.com.fakesite.com
login.binance.scamdomain.net
secure-binance.phishing.xyz

メインドメインは常に一番右側の2つの部分です。例えば、「xxx.binance.com」のメインドメインは binance.com ですが、「binance.xxx.com」のメインドメインは xxx.com であり、これは偽物です。

手口3：広告枠のハイジャック

検索エンジンで**「Binance」というキーワードで広告を出稿**し、公式サイトよりも上位に表示させます。クリックするとUIは完全に複製されていますが、アドレスバーのドメインは偽物です。

GoogleやBingの検索結果の最初の項目は、フィッシング広告である場合があります。

手口4：QRコードの置き換え

WeChatやTelegramのコミュニティで「Binanceダウンロード」のQRコードを送信し、スキャンするとフィッシングサイトやトロイの木馬化されたAPKに誘導されます。

手口5：メールリンクのフィッシング

Binanceを装って「アカウントに異常が発生しました」「KYCの審査待ちです」「出金が拒否されました」といったタイトルのメールを送信し、その中のリンクがフィッシングサイトを指しています。

本物と偽物を迅速に識別する5つの方法

方法1：リンクをクリックせず、直接ドメインを入力する

検索結果、メール、チャット、QRコードからアクセスするのではなく、常にブラウザのアドレスバーに手動で binance.com と入力する習慣をつけてください。

方法2：公式サイトをブックマークに保存する

本物の公式サイトであることを初めて確認した後は、すぐにブックマークに追加してください。それ以降は、検索エンジンを経由せず、毎回ブックマークからアクセスします。

方法3：SSL証明書を確認する

アドレスバーの左側にある鍵のアイコンをクリックし、証明書の発行先を確認します：

本物の公式サイトの証明書発行先は Binance Holdings Limited または *.binance.com であり、DigiCert や GlobalSign などの著名なCAによって発行されています。
偽サイトの大部分は無料の Let's Encrypt を使用しており、発行先は単なるドメイン文字列です。

無料証明書が直ちに偽サイトを意味するわけではありませんが、本物のBinanceは必ず有料のEVまたはOV証明書を使用しています。

方法4：アンチフィッシングコードを確認する

これが最も確実な方法です。Binanceでアンチフィッシングコード（Anti-Phishing Code）を有効にしている場合、本物のBinanceからのメールにはすべてこのコードが自動的に付与されます。

メールにアンチフィッシングコードがない → フィッシング
アンチフィッシングコードが間違っている → フィッシング
アンチフィッシングコードが正しい → 本物

アンチフィッシングコードを有効にしていないユーザーは、直ちに設定してください（セキュリティセンター → Anti-Phishing Code）。

方法5：QRコードを逆検証する

Binance公式アプリのダウンロードページには動的QRコードがあり、更新するたびに変化します。静止画像であり、様々なグループで頻繁に見かけるQRコードは、100%フィッシングです。

モバイル端末で偽アプリを識別する方法

偽のBinanceアプリは通常、以下の経路で拡散されます：

WeChatグループの「Binance最新版」インストールリンク
偽サイトがダウンロードを誘導するAPK
サードパーティのアプリ市場にある模倣アプリ
「Binance」という文字列を含む多数の「Binance Pro」や「Binance Plus」

正しいダウンロード入口

iOS：米国/日本/香港の App Store で「Binance」を検索（中国本土のストアにはありません）
Android：Google Play で「Binance」を検索するか、公式サイトからAPKをダウンロード
公式APK：binance.com/download からのみダウンロード

APKの真正性を検証する

APKをダウンロードした後、以下の方法で検証します：

ファイルサイズが公式サイトの記載と一致しているか確認する
SHA-256ハッシュ値を比較する
APK署名証明書のフィンガープリントを確認する

本物の公式APKの署名証明書情報は固定されており、サードパーティによって変更されたAPKの署名は必ず変化します。

万が一フィッシングサイトにアクセスしてしまった場合の対処法

「見ただけ」の場合

ページを閉じるだけで問題ありません。影響はありません。

アカウントとパスワードを入力してしまった場合

直ちに以下の措置を講じてください：

本物の binance.com を開き、ログインパスワードを変更する
すべてのデバイスを強制的にログアウトさせる（セキュリティセンター → デバイス管理）
ログイン履歴に異常がないか確認する
2FAを再バインドする
出金ホワイトリストを有効にする
短期間に盗難に気づいた場合は、直ちにアカウントをワンクリックで凍結する

偽アプリもダウンロードしてしまった場合

偽アプリをアンインストールする
スマートフォンにトロイの木馬がないかスキャンする
スマートフォンを工場出荷時の設定にリセットする（スマートフォンがクリーンであることを確認できない場合）
クリーンなデバイスでBinanceに再ログインし、資産を確認する

よくある質問

Q：Baidu/Google/Bingで「Binance」と検索して最初に出てくる結果はフィッシングですか？

A：必ずしもそうではありませんが、そうである場合が多いです。検索広告枠はフィッシングサイトによって購入されることがよくあります。最も安全な方法は、binance.com を直接手動で入力することです。

Q：アンチフィッシングコードは本当に役立ちますか？

A：非常に役立ちます。これはBinanceがフィッシング対策のために特別に設計した機能であり、すべての本物のメールにはこのコードが付与されます。フィッシングの実行者はあなたのアンチフィッシングコードを知らないため、偽造することは不可能です。

Q：偽アプリは私の2FAを盗むことができますか？

A：可能です。多くの偽アプリは、ログイン時に2FA認証コードを同期して盗み出し、さらにはクリップボード内のニーモニックフレーズを抽出することもあります。必ず公式チャネルからのみダウンロードしてください。

Q：フィッシングリンクをクリックしましたが、アカウントとパスワードは入力していません。心配する必要がありますか？

A：基本的には必要ありません。パスワードや2FAを入力せず、ファイルもダウンロードして実行していない限り、アクセスしただけでアカウントが漏洩することはありません。ただし、予防措置としてブラウザのCookieとキャッシュをクリアすることをお勧めします。