ドメインだけ見るのはなぜ不十分なのか
初期は公式サイトの識別にドメイン1つ覚えるだけで済みましたが、偽装手口が進化した今は違います。詐欺師は binance に近いドメイン(iを数字1に、nをmに、間にハイフンを追加など)を取得し、公式ほぼ同じフロントエンドテンプレートを使うため、肉眼ではほぼ見分けられません。「アドレスバーを見る」で判断しようとすると、検索広告を慌ててクリックしてアカウントパスワードを渡してしまいやすくなります。
より確実なのは逆方向の発想です。ページを信じてからログインするのではなく、先にログインしてからバイナンス自身に「これが公式か」を教えてもらうのです。バイナンスサーバーはログイン成功のたびに「ログインデバイス」リストに記録します。あなたの今回のログインがアカウントのデバイス記録に現れなければ、そのページは本物のバイナンスではありません。これを公式サイト検証の最後の関門にすれば、識別精度はアドレスバーを凝視するよりずっと高くなります。
ログイン前に Binance Verify へアクセス
バイナンスは verify.binance.com という専用検証入口を提供し、各種公式リソースが信頼できるか確認できます。ログイン予定のURLを貼り付けると、そのドメインが公式ホワイトリストにあるかを返します。検索エンジンの1番目、QQグループで転送されたリンク、ずっと更新していないブックマークは、ログイン前に必ず Verify で確認することを推奨します。このページ自体も偽装される可能性があるので、正しいのは verify.binance.com を手入力することで、検索結果からクリックしないことです。
検証通過後にログインページを開き、ブラウザのアドレスバーがHTTPSか、証明書の発行先は誰か、ドメインの末尾が .com かをあわせて確認します。この3項目のどれかが合わなければタブを閉じ、再度 Verify を通します。
ログイン後すぐに「デバイス管理」で逆方向に照合
これが本サイトが推奨する重要なステップです。アカウントログイン成功後、「セキュリティセンター」の「デバイス管理」または「ログイン記録」ページに入ります。ちょうど発生したログイン記録が1件見えるはずで、デバイス種別、ブラウザ指紋、IP、都市、時間が含まれます。この記録は手元のデバイスと完全に一致しなければなりません。
- 時間は分単位で一致
- ブラウザの機種が使っているものと一致(Chrome / Safari / Edge)
- IP帰属地が実際の位置と一致
- ログイン方法(パスワード、QR、アプリスキャン)も明記
「公式サイト」でパスワード入力したのにデバイス管理にこの新記録がなければ、先ほどログインしたページは本物のバイナンスにリクエストを送らず、偽装サイト背後のサーバーに送ったことになります。この場合、直ちに本物の公式サイトでパスワード変更、2FAリセット、出金ホワイトリストを確認してください。
「新規デバイスログインメール通知」を有効化
「セキュリティセンター」→「高度なセキュリティ」→「アカウントアクティビティ通知」で、新規デバイスログイン、異地ログイン、API呼び出し異常のスイッチをすべてオンにします。有効化後、見知らぬブラウザ・IPでのログインは数秒以内にメールかSMSでアラート発生します。
この機能が公式サイト識別に有用な点は、偽装サイトが入力されたアカウントパスワードを本物のバイナンスで「代理ログイン」して騙す手口(高度なフィッシングが時に行う)の場合、本物のバイナンスは見知らぬデバイスログインと認識してメールアラートを送るからです。メールに設定済みのフィッシング対策コードが付いていれば、アラート自体が本物と確認できます。アラートを受けたら「これは私ではない」をクリックすれば、バイナンスが全セッションを強制ログアウトし、敏感な操作を凍結します。
信頼できるデバイスリスト:日常はホワイトリスト内でのみログイン
バイナンスの「デバイス管理」では、よく使うデバイスを「信頼済み」とマークできます。信頼リストに追加すると、そのデバイスでのログインフローは最もスムーズで、リスク管理の介入が最小になります。リスト外のデバイスからのログインはメール検証、顔認証、さらには24時間の出金クーリングをトリガーします。
このメカニズムで公式サイトを逆識別する簡単な方法:何度もログインしたパソコンやスマホで「バイナンス公式サイト」にアクセスし、アカウントパスワードを入力してフローが普段と完全に同じで追加検証がなければ、大半が本物。逆に顔認証再実施、身分証補填、「新規受取アドレス紐付け」を突然要求してきたら、正常なログインフローではなく、偽装サイトが機微情報を収集しようとしています。本物のバイナンスが通常のログインで突然KYC資料を再提出させることはありません。
iOSユーザーはまずアプリを片付け、ウェブは後で
iPhoneユーザーの公式サイト識別の最も安定した方法は、ブラウザではなくアプリです。App Storeの「Binance」は Binance Inc. が発行しており、インストールすればアプリ内ログインQRコードをスキャンするだけで、ログイン先が本物のバイナンスと確認できます。Apple IDを海外に切り替える詳細は iOSインストールガイド を参照し、そのフローで正規版アプリを取得してください。
アプリインストール後、デスクトップログインは常に「アプリQRコードログイン」を優先し、直接パスワード入力は避けます。QRコードログインのリクエストはアプリが生成し、遷移先アドレスはバイナンスサーバー側にハードコードされ、偽装サイトは阻止できず、パスワードもウェブに現れません。
ブラウザブックマークで検索エンジンを代替
検索エンジンのファーストビュー広告は偽装サイトが最も集中する出稿位置です。Verifyで一度ログイン入口を本物と確認したら、ブラウザブックマークバーに保存し、以降は常にブックマーク経由で入ります。検索エンジンによる遷移を完全にやめます。これで90%のフィッシングリスクを防げます。
スマホブラウザも同じで、SafariやChromeは「ホーム画面に追加」をサポートします。追加後はアドレスが固定され、検索結果のようにSEOで毒されません。アプリQRコードログインと併用すれば、日常的に binance.com を手入力する必要はほぼなくなります。
アプリとウェブが一致しない時はどちらを信じる
偶にこういうケースがあります。ウェブには新しい注文が表示されているのに、アプリにはまったくない、あるいはアプリでは資産が正常だがウェブでは0と表示される。この時は優先的にアプリを信じ、直ちにウェブ側のドメインが本物か確認します。公式アプリと公式ウェブは同じバックエンドDBを読むので、明らかな不一致はどちらか一方が公式でないことを示します。
逆にアプリが異常ログインを通知し、あなたがちょうどウェブで操作している場合、すべての操作を停止し、アプリで「これは私ではない」をクリックし、信頼できるデバイスで再ログイン確認します。
偽装サイトを識別する固定シグナル
- ログイン後に2FAが求められず、直接アカウントに入る(本物は2FA強制)
- ページがシードフレーズ、秘密鍵のアップロードを要求する(本物はオンチェーンウォレット秘密鍵を保管しない)
- 「検証アドレス」に送金して解凍するよう要求する(詐欺の常套句)
- ドメインに -cn、-global、-official などのサフィックス
- 「クライアントインストールパッケージ」をダウンロードするよう促す(App Store / Google Playへの遷移ではない)
- チャットサポートが能動的にポップアップし、異常対処を申し出る
これらのいずれかに遭遇したら直ちにページを閉じ、「フローを最後まで見てみよう」としないでください。本物のバイナンス公式サイト入口は バイナンス公式サイト登録、アプリダウンロードは バイナンス公式アプリのダウンロード をご参照ください。
よくある疑問
Q:Verifyを通過、ログインデバイス記録も一致、それでも問題が出る? 2重の通過で基本的に公式と確認できます。残りのリスクは主に本機への悪意ある拡張の混入やクリップボード乗っ取りです。定期的にアンチウイルスソフトでブラウザ拡張をスキャンすれば十分です。
Q:スマホを紛失しました、デバイス管理に旧デバイスが残っています デバイス管理で旧デバイスを手動削除し、セキュリティセンターで「全セッションログアウト」をクリックし、2FAを再設定してください。
Q:同じブラウザでのログインでもまた検証を求められるのはなぜ? Cookieをクリアした、大きなバージョン更新をした、IPレンジが変わった(家から会社へ)と、バイナンスは新規デバイスとみなし、追加検証を1回挟むのが通常のリスク管理です。
Q:見知らぬIPからのログイン通知を受け、パスワードは変更せず、資産もあるが、深刻? 深刻です。パスワードが漏洩しています。直ちにパスワード変更、全APIキー解除、出金ホワイトリスト有効化、直近7日の注文と出金記録を確認してください。
Q:公式サイトを中国語に変えられる? 可能、ページ右上の言語切替で簡体中国語を選べます。切替はバイナンスサーバー側で完了し、ドメイン検証ロジックには影響しません。