結論から言うと、Binanceのフィッシングサイトは主に4つのタイプに分類されます。ドメインが似ている偽Binance、Google広告の偽Binance、SNSの誘導リンク、カスタマーサポートを装ったインターフェースです。見分けるための核心は、自分でブックマークした公式URLからのみアクセスし、検索エンジンの結果をクリックしたり、見知らぬQRコードをスキャンしたりしないことです。アプリをダウンロードする場合は信頼できるチャネルを利用し、Androidユーザーは Binance公式アプリ から、Appleユーザーは iOSインストールチュートリアル を参照してください。アカウント登録は必ず Binance公式サイト から行ってください。
フィッシングサイトは毎年、暗号資産ユーザーに数十億ドルの損失をもたらしています。世界最大の取引所であるBinanceのフィッシングサイトや偽装バージョンは数万にも上ります。この記事では、最も一般的な4つの手口を見破る方法を解説します。
タイプ1:ドメインが似ている偽Binance
最も一般的で、最も見破るのが難しいフィッシングサイトです。攻撃者は、binance.comと非常に似たドメインを登録します。
| 本物のドメイン | 偽ドメイン(典型的なパターン) |
|---|---|
| binance.com | binances.com |
| binance.com | binance-vip.com |
| binance.com | bіnance.com(キリル文字の і を使用) |
| binance.com | binance.io(IO トップレベルドメイン) |
| binance.com | binance-exchange.com |
| binance.com | binance.cm(oが一つ足りない) |
| binance.com | bnance.com |
最も陰湿なのはUnicodeホモグラフ攻撃(同形異義語攻撃) です。文字の i をキリル文字の і に置き換えたり、a をギリシャ文字の α に置き換えたりします。見た目は全く同じに見えますが、ブラウザが解析するURLは全く異なります。
見分け方
- アドレスバーのURLを直接コピーしてメモ帳に貼り付け、すべての文字がASCIIの範囲内にあるか確認する
- 検索エンジンで「Binance 公式」などと検索しない —— 上位のいくつかの結果は、フィッシングサイトが購入した広告枠である可能性が高い
- 一度ブックマークしたらそれを使用する。毎回ブックマークバーからアクセスし、手入力しない
Binanceの公式ドメインは、この1つのルートドメインのみです:
binance.com
地域のサブドメイン(accounts.binance.com、www.binance.com、binance.com/ja)はすべて合法的ですが、ルートドメインが変わることはありません。
タイプ2:Google / Yahoo広告の偽Binance
検索エンジンの広告はフィッシングサイトの最大のトラフィック源です。攻撃者は「Binance」「Binance公式サイト」に関連するキーワード広告を出稿します。広告枠は常に自然検索結果の上に表示されるため、肉眼で区別するのは困難です。
実際のケース
2023年、あるユーザーがGoogleで「Binance login」と検索したところ、上位3つの広告がすべてフィッシングサイトでした。クリックするとBinanceのログインページを100%複製した画面が表示され、メールアドレスとパスワードを入力すると本物のBinance公式サイトにリダイレクトされるため、ユーザーは「おかしいな、でもログインできたみたいだ」と感じますが、実際にはパスワードはすでに盗まれています。
見分け方
- 広告枠には「Sponsored」「広告」などのマークが表示される
- 広告枠は常にスキップし、自然検索結果を見る
- ただし、自然検索結果であっても、1番目が必ずしも本物の公式サイトとは限らない —— SEO対策がしっかりしているフィッシングサイトが上位に来ることもある
- 最も確実な方法:Binanceを探すのに検索エンジンを一切使わない
代替の安全な方法
- 一度 binance.com をブックマークしたら、今後は常にブックマークからアクセスする
- 当サイトのような信頼できるサードパーティのチュートリアルサイトのリンクからアクセスする
- ブラウザの代わりにアプリを使用する(アプリ内のサーバーアドレスは固定されているため)
タイプ3:SNSでの誘導リンク
Telegram、LINEグループ、Twitter、Discordなどのソーシャルプラットフォームでの「Binanceキャンペーン」「Binanceの特典」といったリンクは、そのほとんどがフィッシングです。
よくある騙し文句
- 「Binance 7周年記念、登録で0.1 BTCプレゼント」
- 「Binance KYCアップグレードキャンペーン、本人確認で100 USDTプレゼント」
- 「Binanceの某コインエアドロップ、ウォレットを接続して受け取る」
- 「Binance IEO先行販売、期間限定申し込みチャネル」
- 「Binanceカスタマーサポートのマンツーマンサービス、専用リンク」
これらの情報は公式のように見えますが、すべてフィッシングです。Binance公式がDMで特典リンクを送ることは絶対にありません。
見分け方
- 「ウォレットを接続する」「秘密鍵を入力する」「Authenticatorキーを提供する」よう求めるリンクはすべて詐欺
- リンクのドメインが binance.com ルートドメインであるか注意深く確認する
- 「アクティベート」「凍結解除」「認証」のために送金を求めるものはすべて詐欺
- 「カスタマーサポート」から自発的に送られてきたDMはほぼすべて偽物
本物のBinance通知チャネル
Binanceの公式情報は以下のチャネルでのみ配信されます:
- Binanceアプリ内の通知センター
- 登録メールアドレス(アンチフィッシングコード付き)
- 公式Twitter(@binance、ブルーバッジ認証)
- 公式アナウンスページ(binance.com/ja/support/announcement)
その他のチャネル(DM、グループチャット、見知らぬSMS)からの情報はデフォルトですべて信頼できません。
タイプ4:カスタマーサポートを装ったインターフェース
「Binance カスタマーサポート 電話番号」「Binance 有人サポート」と検索して騙されるユーザーも少なくありません。攻撃者は:
- 「Binance」という名前を含むウェブサイトを登録する
- フリーダイヤルなどの電話番号やLINE IDを提供する
- ユーザーが電話をかけると、「サポート」がアカウント情報の提供を誘導する
これらの「カスタマーサポート」がユーザーに要求することは常に以下の通りです:
- メールアドレスとパスワードを口頭で伝える(「こちらでお調べします」と言う)
- 2FAの現在のコードを口頭で伝える(「本人確認のため」と言う)
- Authenticatorキーのスクリーンショットを送る(「セキュリティのアップグレード」と言う)
- 「サポート指定のアドレス」に送金する(「アカウントを有効化するため」と言う)
本物のBinanceカスタマーサポートの連絡先
Binanceには電話サポートやLINEサポートは一切ありません。公式のサポートチャネルは以下のみです:
- Binanceアプリ内の「サポート」入口
- ウェブサイト binance.com の右下にあるチャットアイコン
- カスタマーサポートのメールアドレス(@binance.com で終わるもの)
「Binanceサポート」を名乗る電話、LINE、WeChatはすべて偽物です。
フィッシングサイトのインターフェースはどんな見た目か
ユーザーが「デザインが不自然だ」と見破るのを防ぐため、攻撃者はインターフェースを100%複製します:
| 要素 | 本物と偽物の違い |
|---|---|
| ロゴ | 全く同じ |
| 配色 | 全く同じ |
| フォント | 全く同じ |
| ボタンの位置 | 全く同じ |
| 認証プロセス | 全く同じ |
| アドレスバー | 唯一の確実な本物と偽物の識別ポイント |
常にアドレスバーを基準にしてください。インターフェースがどれほど似ていても関係ありません。
誤ってフィッシングサイトにアクセスしてしまった場合
偽のサイトにアクセスしたことに気づいた場合:
パスワードを入力していない場合
すぐにブラウザのタブを閉じてください。理論上、アカウントの損失はありません。ただし、ブラウザのキャッシュをクリアすることをお勧めします(フィッシングサイトがトラッキングCookieを埋め込んでいる可能性があるため)。
パスワードは入力したが確認はクリックしていない場合
- すぐに本物のBinanceにアクセスしてパスワードを変更する
- 2FAを有効にする
- アンチフィッシングコードを有効にする
完全にログインプロセスを行ってしまった場合
- すぐに本物のBinanceでログインパスワードとメールのパスワードを変更する
- Google Authenticatorをリセットする
- アカウントの凍結を有効にする
- 最近の取引履歴を確認する
- カスタマーサポートに連絡して報告する
すでに資産が引き出されてしまった場合
「Binanceアカウントの盗難」の緊急プロセスに従って処理します。重要なのは、さらなる損失を防ぐためにアカウントを凍結し、弁護士や警察を通じてオンチェーンでの資金の流れを追跡することです。
フィッシングを防ぐための7つの習慣
| 習慣 | 防御効果 |
|---|---|
| 公式URLをブックマークして使用する | 99% ドメインフィッシングを防ぐ |
| 検索エンジンの広告をクリックしない | 95% SEOフィッシングを防ぐ |
| 見知らぬ人が送ってきたリンクをクリックしない | 90% SNSフィッシングを防ぐ |
| メールのアンチフィッシングコードを確認する | 100% メールフィッシングを防ぐ |
| ブラウザの代わりにアプリを使用する | 80% ウェブフィッシングを防ぐ |
| 2FAキーを絶対にエクスポートしない | ソーシャルエンジニアリングを防ぐ |
| 多額の資産を取引所に置かない | すべての攻撃を防ぐ |
よくある質問 FAQ
Q:HTTPSの鍵マークがあれば本物のウェブサイトだと保証されますか?
保証されません。現在、フィッシングサイトの100%がHTTPSの鍵マークを持っています —— SSL証明書は無料で申請できるため、緑の鍵マークは「接続が暗号化されている」ことしか証明できず、「ウェブサイトが正規品である」ことは証明できません。
Q:フィッシングサイトはどのようにして私のアカウントを盗むのですか?
主に以下の3つの方法があります:
- 入力されたメールアドレスとパスワードが記録される
- 入力された2FAコードが本物のBinanceに中継され、ログインが完了する
- 偽のアプリをダウンロードするよう誘導され、アプリ内ですべての操作が傍受される
Q:フィッシングサイトに同じメールアドレスで登録してしまった場合はどうすればいいですか?
フィッシングサイトが実際に登録を行うわけではありません。入力されたメールアドレスとパスワードは、攻撃者が考えられるすべてのサービス(Binance、OKX、Coinbase、メールサービス自体)でログインを試みるために使用されます。パスワードを他のサイトと使い回していなければ、影響は限定的です。
Q:スマホアプリにも偽物はありますか?
あります。AndroidシステムはサードパーティのAPKをインストールできるため、偽のBinanceアプリが多数存在します。App Storeの審査は比較的厳しいため、偽アプリは少ないですが、たまに出現します。アプリのダウンロードは必ず公式チャネルから行ってください。当サイトの「ダウンロード」ページで信頼できるリンクを提供しています。
Q:VPNを使用するとフィッシングのリスクが高まりますか?
VPN自体がリスクを高めることはありません。しかし、無料のVPNはトラフィックを乗っ取り、DNSを改ざんする可能性があります。そのため、binance.com にアクセスした際に偽サイトにリダイレクトされることがあります。したがって、無料のVPNは絶対に使用しないでください。
Q:Binanceから自発的に連絡してくることはありますか?
Binance公式が自発的にDMを送ったり、電話をかけたり、LINEなどで友達追加をしてくることはありません。自発的に連絡してくる「Binanceのスタッフ」はすべて詐欺師です。Binanceがあなたとやり取りするチャネルは、メール、アプリのプッシュ通知、ウェブサイト内のメッセージのみです。
Q:チュートリアルサイトは信頼できますか?
信頼できるチュートリアルサイトは、公式URLを継続的に更新し、詐欺防止の知識を提供しています。ただし、当サイトのようなリンクからBinanceにアクセスして登録と初回の紐付けを行い、その後は自分で公式URLをブックマークし、長期的にはそのブックマークを使用するべきです。
まとめ
Binanceのフィッシングサイトから身を守る核心は「ブックマークした公式URLのみを使用すること」です。検索エンジンの結果をクリックせず、SNSの見知らぬリンクをクリックせず、自発的に連絡してくる「カスタマーサポート」を信じないでください。アンチフィッシングコード、2FA、出金ホワイトリストの3つを併用することで、フィッシング攻撃の99%を防ぐことができます。資産の安全性は本質的に技術ではなく、習慣にかかっています。