ZH EN JA KO ES FR
Binanceに登録
ホーム すべての記事 カテゴリ一覧 アプリダウンロード 当サイトについて 免責事項
ZH EN JA KO ES FR
ホーム/ すべての記事/セキュリティ/バイナンス公式URL

バイナンス公式URL

2026-04-21 約 16 分で読了セキュリティ

先日、友人から興味深い質問を受けました。あるカフェでWi-Fiに接続して binance.com を開いたところ、ページ自体には異常がないように見えるのに、ログインだけができず、4G回線に切り替えると途端に正常になったというのです。これは典型的なシグナルです。彼がアクセスしていた「公式サイト」はネットワーク環境によって細工されていた可能性があります。本物のバイナンスへ確実にアクセスするには、バイナンス公式サイトから直接アクセスするか、バイナンス公式アプリをダウンロードしてウェブ層のリスクを回避してください。iPhoneユーザーはiOSインストールガイドを参考にインストールできます。本記事は視点を変えて、ドメインのスペルを見るだけではなく、技術的な観点から目の前の公式サイトが本物かどうかを判断する方法をお伝えします。

ネットワーク層から始める:目にするページはサーバーが返したページと同じとは限らない

一般の人が理解している「公式サイトへのアクセス」とは次のようなものです。binance.com と入力し、ブラウザが開き、バイナンスのページが表示される。しかしその過程の途中では、少なくとも DNS 解決、TCP ハンドシェイク、TLS ハンドシェイク、HTTPリクエスト、サーバーレスポンスという一連のフローを通る必要があります。いずれかのステップに細工が加えられれば、目にするページが偽物である可能性があります。

最も一般的なハイジャックの手法は3種類あります。

  • DNS汚染:プロバイダや公衆Wi-Fiが binance.com を誤ったIPアドレスへ解決し、まったく別のサーバーに誘導されます。
  • HTTPインジェクション:暗号化されていない通信にJSコードや広告が挿入されます。古いタイプの .com リダイレクトページは偽装サイトへハイジャックされることもあります。
  • SSL中間者:偽の証明書が作られ、HTTPSに接続していると思わせながら、実際には第三者によって通信が復号され再転送されています。

バイナンスは暗号資産取引所であるため、こうした攻撃の動機は非常に大きく、公式サイトの識別を「ドメインのスペルを見る」という一段階だけで済ませることはできません。より深く踏み込む必要があります。

公式サイトを識別するいくつかの技術的特徴

証明書の発行機関と有効期限

binance.com を開いた後、アドレスバーの左の鍵アイコンをクリックし、「証明書」の詳細を確認します。本物のバイナンス公式の証明書にはいくつかの安定した特徴があります。

  • 発行対象(Subject)には通常 Binance Holdings LimitedBinance Capital Management Co., Ltd. のような主体情報が含まれます。
  • 発行機関(Issuer)は DigiCert や GlobalSign といった老舗CAであり、Let's Encrypt のような短期無料証明書ではありません。
  • 証明書内の SAN(Subject Alternative Name)フィールドには *.binance.combinance.com、および一部のサブドメインが同時に列挙されます。
  • 有効期限は通常1年以上で、3か月で切れるような短いものではありません。

もし証明書の発行対象が個人名であったり、聞いたこともない会社名であったり、発行者がよく知らない小規模CAだったりした場合、ドメインのスペルが完全に一致していても、直ちにページを閉じてください。

HSTSプリロードリスト

バイナンスのメインサイトは早くから HSTS Preload List に登録されています。これは Chromium、Firefox、Safari などのブラウザに内蔵された「強制HTTPS」のサイトリストです。このリストに登録されたサイトには1つの特徴があります。ユーザーが http://binance.com と入力しても、ブラウザがローカルで即座に https に書き換え、平文リクエストは1度も送信されません。

これは次のことを意味します。

  • アドレスバーの binance.com の前に「安全ではない」のラベルが見えたり、http://binance.com がページが正常に表示されたりした場合、それは本物の binance.com ではありません。
  • 偽装サイトは HSTS Preload List に登録されていないため、平文HTTPを使うか自ら申請した無料証明書を使うかのいずれかで、細部にほころびが出ます。

hstspreload.org で binance.com を検索すれば、このドメインがリストに含まれていることを確認できます。

WHOIS情報

WHOIS検索ツール(who.is、whois.domaintools.com など)で binance.com を調べると、以下の安定した情報が確認できます。

  • 登録者(Registrant)は Binance 社の主体です。
  • ドメインの登録日は通常 2017 年前後と表示されます。
  • 登録事業者は MarkMonitor など法人向けのドメインサービスで、Namecheap やアリクラウドといった小売登録事業者ではありません。

偽装サイトは安価な小売登録事業者を使うことが多く、登録日もほぼ直近1〜2年以内、登録者情報もプライバシー保護で隠されていることが多いです。WHOIS を調べれば一目でバレます。

レスポンスヘッダとサーバーフィンガープリント

技術に少し詳しい方はF12でブラウザのデベロッパーツールを開き、Networkパネルに切り替えてページをリロードし、Response Headersを確認しましょう。本物の binance.com が返すレスポンスヘッダにはいくつかの特徴があります。

  • Strict-Transport-Security ヘッダが存在し、max-age は大きい値(1年以上)。
  • X-Content-Type-Options: nosniffX-Frame-Options: SAMEORIGIN などのセキュリティヘッダがひと通り揃っている。
  • 一部APIは Server: cloudflareCF-Ray で始まるフィールドを返し、Cloudflare を経由していることが分かる。
  • ログインAPIと相場APIはそれぞれ accounts.binance.comapi.binance.comwww.binance.com というサブドメインで分けて捌いている。

偽装サイトでは自前でサーバーを立てるとレスポンスヘッダはnginxのデフォルト値のままで、セキュリティヘッダがまったくないことが多いです。パブリッククラウドでホスティングする場合も、ヘッダ情報はバイナンスのインフラとは一致しません。

ネットワーク環境自体が引き起こす錯覚

公衆Wi-Fiによるハイジャック

冒頭のカフェの例に戻りましょう。公衆Wi-Fi はよく2つのことを行います。1つは強制ポータル認証(captive portal)で、最初のHTTPリクエストをログインページにハイジャックすること、もう1つは広告注入で、HTTPトラフィックに広告を挿入することです。binance.com のような純粋なHTTPSサイトではハイジャッカーは注入ができないことが多いですが、DNS解決が誤ったところへ変更され、接続タイムアウトや証明書エラーが発生することがあります。

解決策:4G/5G回線に切り替えるか、信頼できるDNS(Cloudflareの1.1.1.1、Googleの8.8.8.8など)を使用し、システムレベルで DNS-over-HTTPS または DNS-over-TLS を有効にしてください。

事業者による古いページのキャッシュ

事業者が帯域節約のためにページをキャッシュすることがあり、その結果 binance.com を開くと数日前のスナップショットページが表示されることがあります。この場合、登録ボタンが動かなかったり、相場表示が古かったりします。Ctrl+F5 で強制リロードするか、ネットワークを切り替えれば解決します。

ローカルのhostsファイルの改ざん

一部の悪意あるソフトウェアはパソコンのhostsファイルを書き換え、binance.com をローカルIPや攻撃者のサーバーに向けます。確認方法は C:\Windows\System32\drivers\etc\hosts(Windows)または /etc/hosts(Mac/Linux)を開き、binance 関連のエントリがあるか確認することです。通常、hostsファイル内にバイナンス関連の行が存在することはありません。

アプリがウェブより優れる点

ウェブ側の識別方法をたくさんお話ししてきましたが、実はもっと手間のかからない方法があります。それは直接アプリを使うことです。バイナンス公式アプリにはウェブ版ではできない一連のセキュリティ機構があります。

  • アプリ内のサーバーアドレスはインストールパッケージにハードコードされており、DNS解決の仕組みに依存しないため、ハイジャックがはるかに難しくなります。
  • アプリはリリース時に Google/Apple によるコード署名検証を受けており、インストールパッケージが改ざんされると署名検証に失敗してインストールできません。
  • アプリには証明書ピンニング機構が内蔵されており、通信経路に偽証明書があっても直接接続を拒否します。
  • ログイン、取引、出金などの重要な操作には、アプリのプッシュ確認という追加レイヤーがあり、遠隔攻撃を回避しにくくなっています。

ですので、フィッシングサイトを心配することが多い方には、ウェブは相場確認だけに使い、ログイン、取引、出金はアプリで完結させるのが最も簡単な方法です。

偽装サイトによくあるパターン

長年偽装対策に携わってきてまとめると、偽装サイトには通常以下のパターンがあります。

  • 字形が類似するドメイン:binαnce.com(αはギリシャ文字)、bınance.com(ıはトルコ文字)。ブラウザがPunycode表示を有効にしていなければ見分けはつきません。
  • 合法に見える接頭辞・接尾辞:binance-login.com、mybinance.net、binance-app.info。公式のサブブランドのように見えますが、実際はバイナンスとは一切関係ありません。
  • ニュースページのなりすまし:ニュースリリース風の静的ページを作り、「クリックして特典を受け取る」ボタンを埋め込み、ボタンはフィッシングページへ飛ばす。
  • ログインページのクローン:公式のフロントエンドコードを複製して偽装サイトに設置し、アカウントとパスワードを入力すると「ログイン失敗」と表示されながら裏では攻撃者のサーバーに資格情報が送信される。

これらのパターンがいかに巧妙でも、先にご紹介した証明書、HSTS、WHOIS などの観点で検証すれば必ず見抜けます。

法的コンプライアンスから見た「公式サイト」

多くの方が気付いていない点があります。バイナンスは地域ごとに運営主体が異なるため、「公式サイト」という概念は法的には単一ではありません。

  • グローバルメインサイト binance.com の運営主体は Binance Holdings です。
  • 米国サイト binance.us の主体は BAM Trading Services Inc. で、独立した米国法人であり、アカウント体系はグローバルサイトと完全に分離されています。
  • ジャージー島サイト binance.je は欧州一部地域向けの規制対応サブサイトでした(その後、サービス範囲が調整されています)。
  • 日本、韓国などにも独立した地域サイトがあります。

法的な観点からは、米国で登録した binance.us のアカウントがあなたの公式サイトであり、その他の地域でグローバルサイトを使っているなら binance.com が公式サイトということになります。トラブルやサポートの問い合わせが発生した場合、申立先の主体も異なります。この違いは通常の識別記事ではほとんど触れられませんが、資金トラブルが絡むと非常に重要になります。

FAQ

ブラウザのアドレスバーに binance.com と表示されていれば必ず安全ですか?

ほとんどの場合は安全ですが、絶対ではありません。ドメインのほか、証明書が Binance Holdings によって発行されていること、鍵アイコンが緑または黒であること、「安全ではない」警告がないことも確認してください。公衆回線下ではさらにVPNを一枚かませるか、アプリでアクセスすることを推奨します。

なぜ binance.com は開けないのに binance.info は開けることがあるのですか?

2つのドメインは異なるCDNノードで解決されており、一部地域の事業者がメインドメインにDNS干渉を行っているが .info ドメインには干渉していない、という状況です。この場合、臨時でお知らせを見るのに .info を利用できますが、取引操作はネットワークを切り替えてからメインサイトに戻るか、アプリをご利用ください。

バイナンスは bit.ly や t.co などの短縮URLで公式リンクを送りますか?

公式の公式アカウント、メール、サポートは bit.ly のような第三者の短縮URLを能動的に使うことはありません。バイナンスには独自の短縮ドメイン binance.bz や bnc.lt などの公式短縮URLサービスがあります。bit.ly で始まる「バイナンスリンク」はフィッシングだと思ってください。

パソコンにアンチウイルスを入れていればフィッシングサイトを気にしなくていい?

不十分です。アンチウイルスソフトが主に防ぐのはローカルのトロイの木馬やファイルウイルスで、純粋なウェブフィッシングの検出能力は限られています。特に新規に登録された偽装ドメインは、アンチウイルスの脅威データベースに反映されるまで数日かかるのが通常です。アンチウイルスに頼るより、自分で識別のコツを持つ方がずっと確実です。

hostsファイルを書き換えられたらどう戻す?

管理者権限で hosts ファイルを開き、binance 関連の不正な行を削除して、システムデフォルトの 127.0.0.1 localhost の行だけを残します。変更後はDNSキャッシュをリフレッシュ(Windowsは ipconfig /flushdns)し、ブラウザを再起動すれば反映されます。

スマホのアプリも中間者攻撃を受けることはある?

理論上はアプリも攻撃対象になり得ますが、難易度はウェブより格段に高くなります。アプリ内蔵の証明書ピンニングは公開鍵をコードに固定しており、中間者が偽造した証明書は直接拒否されます。ですのでアプリがネットワーク異常に遭遇した際、通常の挙動は「接続できない」であり、「使えるように見えるがデータは偽物」ということはほとんどありません。