バイナンス公式サイト
検索エンジンで「バイナンス」と入力すると、見た目がほぼ同じサイトが大量に表示され、初心者にはどれが本物か区別がつきません。問題はこの最初の一歩を間違えると、その後に入力するパスワードや認証コードがそのまま詐欺師の手に渡ってしまうことです。肉眼でページを比較するよりも、ブラウザのアドレスバー、証明書の詳細、読み込みリソースといった技術的な視点から検証する方法を身につけた方が確実です。以下でご紹介する方法は検索エンジンのランキングにも、ブックマークにも依存せず、ブラウザ標準のツールだけで、今表示されているバイナンス公式サイトが本物かどうかを判断できます。スマートフォンでも同様の検証が可能ですので、相互確認のツールとしてバイナンス公式アプリを先にインストールしておくことをおすすめします。iPhoneユーザーはまずiOSインストールガイドをご参照いただきアプリをインストールしてください。
まずバイナンス公式サイトのドメイン構造を把握する
多くの方はバイナンスにはURLが1つしかないと思っていますが、実はバイナンスは世界中に複数のサブドメインを持ち、それぞれが異なる機能を担っています。これを理解しておけば、見慣れないスペルを目にしても慌てずに済み、明らかな偽装サイトを一瞬で排除できます。
バイナンスのメインサイトでは簡潔な英単語をメインドメインとして使用しており、世界中のユーザーがこのメインドメインを経由します。ユーザーの地域や業務種別に応じて、対応するサブドメインへ自動的にリダイレクトされます。例えば:
- メインドメイン:世界共通の入口
- 米国ユーザー向けの独立サイト
- 日本など規制遵守地域のローカライズサイト
- ヘルプドキュメント専用のサブドメイン
- お知らせ専用のサブドメイン
判断基準はシンプルです。本物のバイナンスのドメインでは、「主要部分」は常にあの正しいスペルの英単語であり、前にサブドメインが付いたり、後ろに地域サフィックスが付いたりすることはあっても、主要部分自体は変わりません。もしアドレス内の主要部分が1文字でもスペルミスしていたり、文字が似た形の数字に置き換えられていたりしたら、迷わず即座に閉じてください。
よくある偽装スペル
以下は詐欺師が実際に使用してきたフィッシングドメインのパターンです。一目見て覚えておき、次回見かけた際は反射的に閉じてください:
- 文字の重複:binance を binnance、binaance に変える
- 数字への置換:i を 1 に、o を 0 に置き換える
- 隣接文字の入れ替え:binahce、bianance(文字順の錯位)
- ハイフンの追加:bi-nance、binance-login
- 超長いサフィックス:binance-official-verify、binance-secure-login
- 同形文字:キリル文字の а でラテン文字の a を置き換える
最も悪質なのが「同形異義字攻撃」と呼ばれる手法で、アドレスバー上では完全に同じに見えても、文字コードはまったく異なります。現代のブラウザはこうしたドメインを自動的に xn-- で始まる元のエンコードで表示するため、アドレスバーに xn-- が見えたら、ほぼ間違いなくフィッシングです。
SSL証明書で技術的に検証する
ドメインだけを見ていても不十分です。フィッシングサイトは見た目がほぼ同じドメインを登録できます。本当に信頼できる検証手段はSSL証明書を確認することです。
証明書の確認方法
パソコンのブラウザで疑わしいサイトを開き、アドレスバーの一番左にある小さな鍵アイコンをクリックすると、接続詳細のパネルが表示されます。さらに「証明書」や「証明書は有効です」といった文言をクリックすると、証明書の詳細情報が確認できます。
証明書のどのフィールドを見るべきか
証明書の詳細を開いたら、重点的に見るべきは3つのフィールドです。
発行先(Subject / Common Name):このフィールドには証明書に紐づいたドメインが表示されます。本物のバイナンスの証明書では、このフィールド内のドメインがアドレスバーに表示されているドメインと完全に一致していなければなりません。たった1文字でも違ってはいけません。
発行者(Issuer):バイナンスは著名なCA機関が発行した証明書を使用しています。聞いたことのない機関や自己署名証明書が発行者として表示されていたら、迷わず閉じてください。
有効期限(Valid From / Valid To):証明書には明確な開始日と終了日があります。フィッシングサイトでは発行されて数日しか経っていない証明書が使われることが多いです(ドメインを新規に登録したばかりだからです)。バイナンスも証明書を更新することはありますが、新規登録されたばかりのドメイン+新規証明書という組み合わせは強い警戒信号です。
証明書フィンガープリントという決め手
すべてのSSL証明書には固有の SHA-256 フィンガープリントがあり、身分証番号のような役割を果たします。既知の安全なデバイス(例えば自宅で長期にわたりバイナンスにアクセスしていて問題が起きたことがないパソコン)で、バイナンスの証明書フィンガープリントを控えておけば、今後新しいデバイスで初めてアクセスする際に、フィンガープリントが一致するか照合できます。フィンガープリントが1文字でも違っていれば、別の証明書ということになり、別のサーバーあるいは中間者攻撃の可能性が出てきます。
初回アクセス時に必ず行うべき3つの検証
新しいパソコンやスマートフォンに替えた場合でも、旅先のホテルで見知らぬWi-Fiに接続した場合でも、バイナンス公式サイトを初めて開く前に、以下の3ステップを2分かけて実行すれば、基本的に99%の偽装リスクを防げます。
第1ステップ:ドメインを手入力し、リンクは一切クリックしない
検索エンジンで「バイナンス」と検索したり、チャットアプリ、メール、SMSに含まれるリンクをクリックしたりしないでください。最も安全な方法は、指で1文字ずつドメインをアドレスバーに入力することです。この一手間で、あらゆるフィッシングリンク、広告リダイレクト、短縮URLの転送を回避できます。
第2ステップ:接続の安全性表示を確認する
ページが開いたら、アドレスバーの左側には閉じた鍵アイコンが表示され、プロトコルは https でなければなりません。もし「安全ではありません」「接続はプライベートではありません」「証明書エラー」などの警告が表示されたら、直ちに閉じてください。バイナンス公式サイトで証明書エラーが出ることは絶対にありません。いかなる警告も、アクセスしているのが本物のサイトではないか、ネットワークがハイジャックされていることを意味します。
第3ステップ:アプリ側とクロス検証を行う
これは多くの方が見落としがちな強力な手段です。バイナンス公式アプリでご自身のアカウントにログインし、残高、注文履歴、ログイン履歴を確認します。その後、ウェブ版でも同じようにログインし、両者に表示されるデータが一致しているか比較してください。もしウェブに表示される残高や注文がアプリと合わない場合、そのウェブは必ず偽物です。入力したパスワードはすでに漏洩しているので、直ちにアプリ内でパスワードを変更し、APIの紐付けをすべて解除してください。
アプリ入口とサイトの連携関係
あまり知られていませんが、バイナンス公式アプリ自体が検証ツールとして機能します。正規のアプリには公式URLのホワイトリストが内蔵されており、アプリから「ウェブ版へ移動」といったリンクをタップすれば、開かれるのは必ず本物のドメインです。逆に、本物のバイナンス公式サイトから「アプリをダウンロード」のQRコードを読み取れば、ジャンプ先も公式のアプリダウンロードページです。
2つの入口が相互に誘導する仕組み
- アプリでウェブ上のQRコードを読み取ってログイン → スキャン後、アプリにこれからログインするドメインが明示され、確認してはじめて有効になる
- アプリの「セキュリティセンター」内の「ウェブデバイス」リスト → アカウントにログインしたすべてのブラウザとIPが確認できる
- ウェブ版でログイン通知を有効化 → 毎回のウェブログインがアプリにリアルタイム通知される
「ウェブで操作、アプリで確認」というダブル検証の習慣を身につけましょう。いかなる時もアプリにログイン通知が届いていないのにウェブでログインに成功している場合、ログインしているのは本物のサイトではありません。
初心者が最もハマりやすい偽装シーン
技術的な検証の話はこれまでにしてきたので、実生活で初心者が最もハマりやすいシーンをいくつか紹介します。
シーン1:検索エンジンの広告枠
検索結果の最上部にある「広告」枠には、バイナンスを偽装した出稿がよく現れます。ドメインは本物にそっくりで、ページの再現度も非常に高いです。覚えておいてください。バイナンス公式は検索エンジンの入札広告でユーザーを獲得することはありません。「広告」タグが付いた結果はすべてクリックしないでください。
シーン2:ソーシャルメディアのDMで送られてくる「カスタマーサポート」
コミュニティでバイナンスに関する質問を投稿すると、しばらくしてから「バイナンス公式カスタマーサポート」からDMが届き、「公式サイトのリンク」が添えられています。これは100%詐欺師です。本物のバイナンスのカスタマーサポートはアプリや公式サイトのオンラインカスタマーサポートウィンドウからしか応答せず、DMで能動的に連絡してくることは絶対にありません。
シーン3:SMSに含まれる「アカウント異常」リンク
SMSの送信元番号は任意の名前に偽装できますし、本文中のリンクは高精度の偽装サイトへ誘導されます。「アカウント異常のためリンクをクリックしてください」と主張するSMSは一切クリックせず、直接アプリを開くかドメインを手入力してログインし、アカウントに本当に異常があるかを確認してください。
シーン4:友人から転送されてきた「お得なキャンペーン」
知人から転送されたリンクであっても警戒すべきです。その人は善意でシェアしているかもしれませんが、本人自身がフィッシングサイトで見て転送している可能性があります。バイナンスのすべてのキャンペーンは公式サイトの「お知らせ」エリアとアプリの「キャンペーン」エリアで同時に告知されます。公式の入口から再確認してから参加してください。
バイナンス公式サイト FAQ
バイナンスは中国本土で通常アクセスできますか?
現地の法規要件に基づき、バイナンスは中国本土の居住者へのサービス提供を停止しています。アクセスできるかどうかはネットワーク環境に依存します。技術的にページを開けるからといってサービスを利用できるわけではありません。アカウントのコンプライアンスについては、バイナンスの実際のポリシーに従ってください。
バイナンスの「ドメイン」はなぜ時々リダイレクトするのですか?
バイナンスはアクセス元のIPに応じて対応するローカライズサブサイトに自動ルーティングします。これは正常な動作です。リダイレクト後のドメインの主要部分が正しいスペルの英単語であれば安全です。まったく無関係なドメインにリダイレクトされる場合は、ハイジャックされています。
スマートフォンのブラウザでSSL証明書はどう確認する?
主要なスマートフォンブラウザはいずれも確認をサポートしています。Chromeの場合:アドレスバーの鍵アイコンをタップ → 「接続は保護されています」を選択 → 「証明書は有効です」をタップすれば詳細が確認できます。Safari の場合は設定から、またはパソコン版Safariの開発者ツールから確認する必要があります。
すでに偽サイトでパスワードを入力してしまった場合はどうすれば?
直ちに本物のアプリで3つのことを行ってください:ログインパスワードの変更、Google認証システムのリセット、すべてのAPIキーの紐付け解除。可能であれば、資金を新たに用意した安全なアカウントやコールドウォレットへ移してください。時間こそが命です。詐欺師はパスワードを入手すると通常数分以内にログインや出金を試みます。
毎回手入力する代わりにブックマークを使ってもいい?
はい、推奨します。ただし前提として、ブックマークに保存するリンクは、初回に技術的検証を経て確認したものである必要があります。本物のバイナンス公式サイトをブックマークに追加しておけば、以降はブックマーク経由でアクセスするだけで、類似ドメインを入力ミスしてハイジャックされる心配がありません。
バイナンス公式のお知らせはどこで発表されているか、どうやって知ればいい?
バイナンス公式のお知らせは3つのチャネルで同期配信されています:公式サイトのお知らせサブドメイン、アプリのトップページの通知センター、公式認証済みソーシャルメディアアカウント。3つのチャネルの内容は一致しているはずです。もしある「お知らせ」がコミュニティだけで流布していて、公式サイトやアプリに載っていなければ、それは偽物です。