結論から言うと、BinanceのAPI Keyを使わなくなった場合は、必ず「API管理」ページで「無効化(Disable)」するのではなく**「削除(Delete)」**してください。削除は不可逆(元に戻せない)ですが、無効化は後で誰かに再び有効化されるリスクがあります。削除後は、ついでにアカウントのログインデバイスと最近のAPI呼び出し履歴も確認しておきましょう。アカウントにログインして操作する必要がある場合は、Binance公式サイトからアクセスしてください。アプリを利用する場合、AndroidユーザーはBinance公式アプリから、AppleユーザーはiOSインストールガイドを参考にダウンロードしてください。
Binanceアカウントのハッキング事件のうち、約30%は直接のログインパスワードではなくAPI Keyを経由して引き起こされています。ボット(BOT)、自動売買(クオンツ)プラットフォーム、コピートレードツールなどを使用した後にAPIの削除を忘れると、アカウントに永久的なバックドア(抜け穴)を開けたままにするのと同じです。本記事では、APIを完全にクリーンアップする方法を明確に解説します。
なぜ「無効化」ではなく「削除」しなければならないのか
BinanceはAPIの状態管理について以下の2つのオプションを提供しています:
| 操作 | 復元可能性 | セキュリティレベル |
|---|---|---|
| APIの無効化 | 復元可能 | 低 |
| APIの削除 | 復元不可 | 高 |
無効化は一時的にオフにするだけであり、アカウントが乗っ取られた後にハッカーが再び有効化することができます。一方、削除はデータベースからそのKeyを抹消するため、ハッカーが削除済みのKeyを復活させることはできません。
したがって、原則は「短期間使わないなら無効化、永久に使わないなら削除」です。もしこのAPIを今後二度と使わないと確信しているなら、残しておく必要はありません。
APIを削除する手順
ステップ1:API管理ページへのアクセス
Binanceアカウントにログイン後:
- Webブラウザの場合:アカウント(プロフィールアイコン) → API管理
- アプリの場合:アカウント → 設定 → API管理
ページには作成済みのすべてのAPI Keyがリストアップされています。各Keyには以下が表示されます:
- 名前(作成時に設定したもの)
- 作成時間
- 権限の範囲(読み取り / 現物取引 / 先物取引 / 出金)
- 最終使用時間
ステップ2:各APIの最近の使用状況を確認する
もしあるAPIの最終使用時間が30日以上前であれば、基本的にはもう使われていないと判断できます。ただし、そのAPIが長期的な戦略を実行していないか先に確認する必要があります:
- 自動売買BOT:毎日呼び出されている可能性がある。
- コピートレードツール:コピートレード期間中は継続的に呼び出される。
- 税務・確定申告ソフト:月1回や四半期に1回呼び出される。
不確かな場合は、まず無効化して1週間ほど様子を見ましょう。業務上のエラーが何も起きなければ削除します。
ステップ3:削除の実行
削除したいKeyを見つけ → 「削除」ボタンをクリックします。システムは3段階の認証を要求します:
- メール認証コード
- Google Authenticator(Google認証システム)の6桁の動的コード
- SMS認証コード(バインドしている場合)
3つのコードがすべて揃うと、Keyは即座に削除され、元に戻すことはできません。
ステップ4:削除が成功したか確認する
ページを更新し、リストからそのKeyが消えていることを確認します。無効化されただけのKeyはリストにグレーアウトして表示されますが、削除されると完全に消え去ります。
直ちにAPIを削除すべき状況
現在使用中かどうかにかかわらず、以下の状況に遭遇した場合は直ちに削除してください。
状況1:API Secretを誤ってGitHubにアップロードしてしまった
GitHubの公開リポジトリにAPI Secretが含まれるコードをアップロードすると、自動的にスキャンされます。攻撃者は毎日スクリプトを書いて流出したKeyを探しており、数分以内に発見されます。Secretが流出した場合:
- 直ちにBinance側のそのKeyを削除する。
- 新しいKeyを作成する際は「出金を許可(Enable Withdrawals)」にチェックを入れない。
- IPホワイトリストを設定する。
- Secretが含まれるコードを
.gitignoreに移動するか、環境変数を使用する。
状況2:使用していた自動売買プラットフォームが閉鎖またはハッキングされた
一部のサードパーティ製自動売買プラットフォーム(3Commas、Pionexなど)でセキュリティ事件が発生した場合:
- プラットフォームがハッキングされた:ハッカーが全ユーザーのAPI Keyを取得した可能性がある。
- プラットフォームが閉鎖(夜逃げ):閉鎖前にユーザーのアカウントを悪用して操作する可能性がある。
どのプラットフォームであれ、使用をやめたら直ちにAPIを削除し、以前のサービスプロバイダーに権限を残さないようにしてください。
状況3:コピートレード / コピー取引の終了
コピートレードのサービス期間が満了したり、自発的にフォローを終了したりしても、コピー先の事業者が保持しているAPI Keyは依然として有効です。自分から削除しない限り、相手に権限を与え続けることになり、相手はあなたの残高や取引履歴を引き続き見ることができます。
状況4:見覚えのないAPI Keyを発見した
API管理画面に入った際、自分が作成した覚えのないKeyを見つけたら、直ちに削除し、緊急の対応を行ってください:
- パスワードを変更する。
- 2段階認証(2FA)をリセットする。
- すべてのデバイスからログアウトする。
- アカウントの凍結を有効にする。
これは、アカウントがすでに侵入されているという明確なサインです。
APIセキュリティ設定のベストプラクティス
特定のAPI(自動売買戦略など)を引き続き使用する必要がある場合は、以下の防御策を講じてください。
その1:「出金を許可」権限は絶対にチェックしない
BinanceのAPI作成時には、4つの権限オプションがあります:
| 権限 | 用途 | 推奨 |
|---|---|---|
| 読み取りを有効化 | 口座や注文の照会 | はい |
| 現物 / 先物取引を有効化 | 注文、注文のキャンセル | 必要に応じて |
| 出金を有効化 | 仮想通貨の外部送金 | 絶対にチェックしない |
| ユニバーサルトランスファー(万向転送)を有効化 | サブアカウント間の資金移動 | 必要に応じて |
「出金を許可」にチェックを入れない限り、APIが盗まれてもハッカーは仮想通貨を引き出すことはできません。彼らはデタラメな注文を出すことしかできず、すべての仮想通貨はあなたのBinanceアカウント内に残ります。これは最も重要な防衛線です。
その2:IPホワイトリストを設定する
API作成時、どのIPからの呼び出しを許可するかを指定できます。設定すると:
- ホワイトリストにあるIPのみがこのAPIを呼び出せる。
- それ以外のIPからの呼び出しは直接403エラーを返す。
適用シーン:
- 固定されたVPSサーバー上で自動売買戦略を動かす場合(VPSのIPを追加)。
- 自分のPCで長期的に同じIPを使用する場合(自分のIPを追加)。
不適用シーン:
- モバイルデバイスで頻繁にネットワークを切り替える場合。
- VPNでIPが頻繁に変わる場合。
その3:APIごとに用途を分ける
1つのAPI Keyを複数のツールで同時に使わないでください。各ツールごとに独立したKeyを作成すれば、問題が発生した際に1つを削除するだけで済み、他に影響を与えません。名前を付ける際は明確に用途を記載します:
- 「3Commas-現物」
- 「PionexBot-先物」
- 「税務レポート-読み取り専用」
その4:定期的にローテーションする
6〜12ヶ月ごとに自発的にAPI Keyを交換します:
- 古いKeyを削除する。
- 同じ名前の新しいKeyを作成する。
- ツール側でSecretを更新する。
頻繁にローテーションすることで、Keyを長期間保持することによる情報漏洩のリスクを減らすことができます。
API削除後の事後チェック
APIを削除した後は、以下の確認作業も行ってください:
- 取引履歴の確認:過去30日間に見覚えのない注文がないか。
- 資産変動の確認:残高が予想と一致しているか。
- OTC(C2C)注文の確認:異常なP2P注文がないか。
- アカウントログの確認:アカウント → セキュリティ → セキュリティログで、APIの操作履歴を確認する。
もし異常を発見した場合は、直ちにアカウントを凍結してください。
よくある質問(FAQ)
Q:複数のAPIを一括で削除できますか?
できません。Binanceは各APIごとに個別に削除を実行し、2段階認証(2FA)を完了することを求めています。これは誤操作や、自動化スクリプトによる合法的なKeyの一括削除を防ぐためのセキュリティ設計です。
Q:APIを削除すると、アカウント内の資産に影響しますか?
全く影響しません。API Keyは単なる権限の証明書(パス)であり、それを削除しても資産、注文、履歴には何の変化もありません。
Q:APIを削除した後、現在実行中の注文はどうなりますか?
現在市場に出されている注文(指値注文など)はAPI削除の影響を受けません。注文はすでにBinanceのサーバー上にあり、元の条件に従って引き続き実行されます。ただし、ツール側からはそのAPIを使って注文をキャンセルしたり変更したりできなくなるため、アカウントにログインして手動で処理する必要があります。
Q:APIの過去の呼び出し履歴は確認できますか?
確認できます。アカウント → セキュリティ → セキュリティログの中に、すべてのAPI呼び出しログがあり、IP、時間、操作タイプが含まれています。APIが盗まれたと疑われる場合は、まずここを確認してください。
Q:APIの数に上限はありますか?
一般ユーザーは最大30個の有効なAPI Keyを持つことができます。VIPユーザーは上限がさらに高くなります。使わなくなったKeyを削除すれば、新しいツールのための枠を空けることができます。
Q:誤ってAPIを削除してしまった場合はどうすればいいですか?
削除は永久的であり、元に戻すことはできません。しかし、直ちに同じ名前で新しいKeyを作成し、権限とホワイトリストを再設定することは可能です。その後、サードパーティ製ツール側に新しいKeyとSecretを更新すれば元通りに機能します。
Q:API KeyとSecretではどちらがより機密性が高いですか?
両方とも非常に重要ですが、Secretは絶対に流出させてはいけません。KeyはアカウントIDのようなもので、Secretはパスワードのようなものです。Keyはネットワークリクエストの中で(暗号化されてはいますが)送信されますが、Secretは決して送信されず、ローカルでの署名作成にのみ使用されます。Secretが流出した場合、それはKeyの制御を失ったことを意味します。
まとめ
BinanceのAPIは使わなくなったら「無効化」で放置せず、直ちに削除してください。削除する前に、それが長期的なタスクを実行していないことを確認し、削除後にはアカウントの過去30日間の異常活動をチェックします。まだ使用中のAPIには**「出金を許可」権限を絶対に与えず**、IPホワイトリストと組み合わせるのが最も安全な方法です。6〜12ヶ月ごとに自発的にAPI Keyをローテーションさせ、長期的なハッキング被害のリスクを低減しましょう。