バイナンスのすべての公式インストールパッケージには、バイナンス公式サイト のダウンロードページ下部に 8d5f2a1c9b3e47d6...(合計64文字の16進数)のような SHA-256 検証値が公開されています。検証の核心は、ローカルにダウンロードした APK/DMG/EXE ファイルをハッシュツールで再計算し、公式サイトの数値と1文字ずつ照合することです。完全に一致して初めて、ファイルが第三者によって改ざんされていないことが証明されます。公式インストールパッケージを確実に入手するには、バイナンス公式アプリ から取得するのが最も安全です。これにより、悪意のあるサードパーティのミラーサイトを避けることができます。以下に、Windows、macOS、Linux、Android の4つの環境で、30秒以内に SHA-256 検証を完了させる方法和、APK 署名検証の高度な手法について解説します。
1. SHA-256 検証とは?なぜ必要なのか?
SHA-256 は SHA-2 ファミリーのハッシュアルゴリズムで、任意の長さのファイルを固定の 256 bit(64文字の16進数)のダイジェストに変換します。以下の3つの特性により、データの完全性検証に適しています。
- 改ざん防止:ファイルが1バイトでも変更されると、ダイジェスト全体が劇的に変化します。
- 衝突耐性:内容が異なるのにダイジェストが同じになるファイルを生成することは、現在のコンピュータでは不可能です。
- 不可逆性:ダイジェストから元のファイルを復元することはできません。
なぜ検証が必要なのか? フィッシング詐欺の典型的な手法は、オリジナルの APK を解体し、木馬 SDK(クリップボード内のウォレットアドレスを監視するものなど)を注入して再パッケージ化し、サードパーティサイトに公開することです。見た目のアイコンやパッケージ名、バージョン番号は同じでも、SHA-256 値は必ず異なります。検証を行うことで、こうした偽パッケージの 99% を排除できます。
2. Windows で SHA-256 を検証する方法
Windows 10 / 11 には certutil コマンドが標準搭載されており、追加のソフトウェアは不要です。
方法1:certutil コマンド
- ダウンロードした
BinanceSetup-1.50.2.exeをD:\Downloads\に配置します。 - Win + R キーを押し、
cmdと入力してコマンドプロンプトを開きます。 - 以下のコマンドを入力します:
certutil -hashfile D:\Downloads\BinanceSetup-1.50.2.exe SHA256
- Enter キーを押すと、3〜5秒で結果が表示されます:
SHA256 の D:\Downloads\BinanceSetup-1.50.2.exe ハッシュ:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4
CertUtil: -hashfile コマンドは正常に完了しました。
- この64文字を バイナンス公式サイト のダウンロードページの SHA-256 と比較し、完全に一致していれば安全です。
方法2:PowerShell Get-FileHash
PowerShell を使用すると、より簡潔に実行できます:
Get-FileHash D:\Downloads\BinanceSetup-1.50.2.exe -Algorithm SHA256
出力形式:
Algorithm Hash Path
SHA256 8D5F2A1C9B3E47D6F8A2C5B9E1D3F7A2... D:\Downloads\...
注意:PowerShell は大文字で出力します。比較する際は大文字小文字を無視するか、小文字に変換して照合してください。
方法3:7-Zip 右クリックメニュー
7-Zip をインストールしている場合は、EXE ファイルを右クリック → CRC SHA → SHA-256 を選択するだけで、ハッシュ値がウィンドウに表示されます。コマンドラインに不慣れなユーザーに最も適した方法です。
3. macOS で SHA-256 を検証する方法
方法1:shasum コマンド
macOS には shasum が内蔵されています。ターミナルを開き、以下を入力してください:
shasum -a 256 ~/Downloads/Binance-1.50.2.dmg
出力:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 /Users/you/Downloads/Binance-1.50.2.dmg
方法2:openssl
shasum で問題が発生した場合は、openssl を使用できます:
openssl dgst -sha256 ~/Downloads/Binance-1.50.2.dmg
方法3:GUIツール QuickHash
コマンドを使いたくない場合は、QuickHash-GUI(無料)をインストールし、DMG ファイルをドラッグ&ドロップするだけで各種ハッシュ値を確認できます。
4. Linux で SHA-256 を検証する方法
Linux では sha256sum を使うのが標準的です:
sha256sum ~/Downloads/BinanceSetup.AppImage
また、一括検証も可能です:
cd ~/Downloads
sha256sum -c binance.sha256
ここで binance.sha256 は作成したテキストファイルで、内容は以下の形式にします:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 BinanceSetup.AppImage
sha256sum -c は自動的に比較を行い、OK または FAILED を出力します。
5. Android で APK を検証する方法
Android では、ハッシュ値検証和署名検証の両方を行うことを推奨します。
ハッシュ値検証 (Termux)
- Termux をインストールします(F-Droid から取得可能)。
- APK をスマホの
/sdcard/Download/に配置します。 - Termux で以下を実行します:
termux-setup-storage
cd /sdcard/Download
sha256sum binance.apk
署名検証 (apksigner)
ハッシュ値が一致していても、ファイルが改ざんされていないことしか証明できません。署名が一致して初めて、バイナンス公式がリリースしたものであることが証明されます。
- PC に Android SDK Build-Tools (34.0.0以上) をインストールします。
- 以下を実行します:
apksigner verify --print-certs --verbose binance.apk
- 出力の重要項目:
Signer #1 certificate DN: CN=Binance Cayman Holdings Limited, O=Binance, L=George Town, ST=Cayman Islands, C=KY
Signer #1 certificate SHA-256 digest: a1b2c3d4e5f6...
署名証明書の SHA-256 は固定されています(バイナンスは過去に一度だけ、v1からv2への移行時に変更しました)。証明書のダイジェストが公式サイトの公開値と一致すれば、本物です。
偽 APK を素早く見抜く5つのサイン
| チェック項目 | 本物の特徴 | 偽物の特徴 |
|---|---|---|
| パッケージ名 | com.binance.dev | com.binance.app / com.binance.pro など |
| 署名者 | Binance Cayman Holdings | ランダムな文字列または Unknown |
| ファイルサイズ | 70-80 MB | 40-60 MB または 120 MB以上 |
| 権限数 | 28-35個 | 40個以上(SMSや連絡先へのアクセスが含まれる) |
| 初回起動 | ログイン画面へ直接移動 | 偽装ドメインへリダイレクト |
6. DMG ファイルの完全性を検証する方法
macOS の DMG ファイルについては、SHA-256 に加えて codesign で開発者署名を検証できます。
codesign -dv --verbose=4 /Applications/Binance.app
重要項目:
Authority=Developer ID Application: Binance Holdings Limited (ABCDE12345)
TeamIdentifier=ABCDE12345
TeamIdentifier は Apple 開発者アカウントの ID です。バイナンスの Team ID は固定されているため(公式サイトのサポートページで確認可能)、一致しない場合は第三者がパッケージ化したことを意味します。
7. Windows EXE のデジタル署名検証
GUI での確認
BinanceSetup.exe を右クリック → プロパティ → デジタル署名 → Binance Holdings Limited を選択 → 詳細 → 証明書の表示。
重要項目:
- 発行先: Binance Holdings Limited
- 発行者: DigiCert Trusted G4 Code Signing RSA4096
- 有効期限: 2024-xx-xx から 2027-xx-xx まで
コマンドラインでの確認 (signtool)
signtool verify /pa /v BinanceSetup.exe
Successfully verified と表示されれば、署名は有効です。
8. ハッシュ値が一致しない場合の対処法
SHA-256 が一致しない場合は、そのファイルを実行しないでください。考えられる原因は以下の通りです。
- ダウンロードの中断:ネットワーク不安定によりファイルが不完全。再ダウンロードしてください。
- CDN キャッシュエラー:ブラウザのキャッシュをクリアするか、別のブラウザを試してください。
- 中間者攻撃:公共 Wi-Fi では通信を乗っ取られている可能性があります。信頼できるネットワークで再試行してください。
- 公式サイトの更新遅延:最新版のリリース直後は、検証値の反映が数時間遅れることがあります。
- ダウンロード元が非公式:サードパーティサイトのパッケージには常にリスクがあります。必ず公式サイトに戻ってください。
よくある質問 FAQ
Q1: ダウンロードのたびに検証が必要ですか?
A: バイナンス公式サイト から HTTPS でダウンロードする場合、TLS 自体が転送の完全性を保証しているため、日常的には省略可能です。ただし、多額の資産を扱うアカウント、ミラーサイトからの取得、公共 Wi-Fi の使用などの場合は、強く検証を推奨します。
Q2: SHA-1 や MD5 で代用できますか?
A: 推奨されません。MD5 は2004年に、SHA-1 は2017年に脆弱性が証明されています。現在の業界標準は SHA-256 または SHA-3 です。バイナンス公式サイトでは SHA-256 に統一されています。
Q3: PC なしで Android スマホだけで署名検証を行う方法はありますか?
A: APK Signature Verifier などのアプリ(F-Droid 等でオープンソース版が入手可能)を使用すれば、スマホ上で APK を選択するだけで署名証明書の SHA-256 フィンガープリントを表示し、公式サイトと比較できます。
Q4: ハッシュ値の大文字と小文字が違いますが、不一致とみなすべきですか?
A: いいえ。SHA-256 は16進数表現であるため、大文字小文字は区別されません。PowerShell は大文字、Linux/macOS は小文字で出力することが多いですが、値自体が同じであれば問題ありません。
Q5: 圧縮ファイルを解凍した後の APK でも SHA-256 は一致しますか?
A: はい。解凍プロセスでファイルが破損していなければ、APK のハッシュ値は元のパッケージと完全に一致します。ただし、圧縮ファイル自体が二次パッケージ化されている場合は、公式サイトの値とは一致しなくなります。
検証方法をマスターしたら、次は Android / iOS 各ブランドごとの詳細なインストール手順を確認しましょう。カテゴリナビ から引き続きご覧ください。