Binance(バイナンス)のデバイス管理ページ(Device Management)には、現在ログイン状態にあるすべてのデバイスと、過去30日間のログイン履歴が表示されます。これは毎月のアカウントセキュリティ確認において欠かせない項目です。核となるアクションは、**「定期的なチェック → 見知らぬデバイスの識別 → 強制ログアウト → パスワード変更」**です。ログイン通知と組み合わせることで、異常をいち早く察知できます。入り口は Binance公式サイト の「セキュリティ」→「デバイス管理」にあります。アプリ版でも Binance公式アプリ をダウンロードすれば、同様のパスでアクセス可能です。本記事では、インターフェースの解説、IP/位置情報の識別、不審なデバイスへの対処、セッション(Session)の仕組み、自動クリーンアップ戦略など、8つのポイントについて詳しく解説します。
一、デバイス管理インターフェースの解説
Binanceウェブ版にログインし、右上のアイコン → [セキュリティ] → [アカウントセキュリティ] セクション → [デバイス管理] を開くと、2つのリストが表示されます。
現在ログイン中のデバイス (Active Devices)
各行に以下の情報が表示されます:
| 項目 | 意味 | 例 |
|---|---|---|
| Device | デバイスの識別 | Chrome 126 on macOS 14.5 |
| IP Address | ログイン時のIP | 203.0.113.42 |
| Location | IPによる位置情報 | Hong Kong, HK |
| Last Active | 最終アクティブ時間 | 2026-04-14 14:12 UTC |
| Status | 現在の状態 | Online / Offline |
| Action | 操作ボタン | 削除 (Remove) |
ログイン履歴 (Login History)
過去 30日間 のすべてのログインイベントが保持されます:
| 項目 | 説明 |
|---|---|
| Date | ログイン日時 |
| IP | 送信元IP |
| Device | UAで識別されたデバイス |
| Location | 国 + 都市 |
| Status | 成功 (Success) / 失敗 (Failed) |
| 2FA Method | 認証方法 (Authenticator/SMS/Email) |
異常を示す3つのサイン:行ったことのない都市、使ったことのないブラウザ、深夜3時のログイン。
二、IPアドレスと位置情報の識別
正常なIPの特徴
- お住まいの地域の通信事業者(プロバイダ)のIPアドレス帯域と一致している。
- スマホの4G/5G切り替え時に、別の都市(近隣の主要都市など)として表示されることがある。
- VPNやプロキシを使用している場合、その出口サーバーのIPが表示される。
- 会社のWi-Fiの場合、本社のIPが表示されることがある。
異常なIPの特徴
- 海外(ロシア、ベトナム、ベトナム、ナイジェリアなど)からのアクセス(実際にそこにいない場合)。
- IDC(データセンター)のIP(AWS/Google Cloud/DigitalOceanなど)だが、サーバー経由でログインした覚えがない。
- Torの出口ノード。
- 同一時間帯に、物理的に移動不可能なほど離れた複数の場所からのログイン。
IP情報の確認方法
ログインIPアドレスの詳細は、以下のサイトなどで確認できます:
https://ipinfo.io/203.0.113.42
https://ip-api.com/203.0.113.42
https://www.ip.sb/?ip=203.0.113.42
返される org(組織)、country(国)、city(都市)、asn などのフィールドから素早く識別できます。データセンターのIPの場合、org に AS14061 DigitalOcean や AS16509 Amazon などと表示されます。
三、見知らぬデバイスへの対処フロー
不審なデバイスを見つけた場合は、以下の5ステップで対処してください。
ステップ1:直ちに強制ログアウトさせる
見知らぬデバイスの右側にある [削除 (Remove)] をクリック → 2FA認証 → ログアウトを確定。これにより、そのデバイスのセッショントークン(Session Token)は即座に無効化され、相手がCookieを保持していても操作を継続できなくなります。
ステップ2:パスワードを変更する
[セキュリティ] → [パスワード変更] → 12文字以上の新しいパスワードを設定 → 2FA認証。パスワード変更後、すべてのデバイス(自分自身のものも含む)が強制的にログアウトされるため、再度ログインする必要があります。
ステップ3:2FA(2要素認証)のリセット
[セキュリティ] → [認証アプリ] をオフにして、すぐに再設定します。理由:万が一、攻撃者があなたの2FAシークレットキーを盗んでいた場合(極めて稀なケースですが)、TOTPコードを生成し続ける可能性があるためです。リセットにより古いキーは無効になります。
ステップ4:APIキーのクリーンアップ
[API管理] → 心当たりのないAPIキーをすべて削除します。強制ログアウトをしても、APIキーによるアクセスはセッションに依存しないため、削除することでのみ完全に遮断できます。
ステップ5:資産のチェック
- [資産] → [取引履歴]:過去7日間に不審な注文がないか確認。
- [資産] → [出金履歴]:過去30日間に見知らぬアドレスへの出金がないか確認。
- [資産] → [API取引履歴]:高頻度のボット取引などが行われていないか確認。
- 異常を発見した場合は、直ちにカスタマーサポートに連絡し、アカウントを凍結してください。
四、セッションの仕組みとトークンの有効期限
Binanceのウェブ版では、**JWT + リフレッシュトークン(Refresh Token)**方式が採用されています:
| トークンの種類 | 有効期限 | 保存場所 | 取り消し方法 |
|---|---|---|---|
| アクセストークン | 約15分 | Cookie (HttpOnly) | 自動期限切れ |
| リフレッシュトークン | 30日間 | Cookie (HttpOnly) | デバイス管理から削除 |
| APIキー | 削除するまで永久 | ユーザーが保存 | API管理から削除 |
| WebSocketトークン | 60分 | セッション内 | 接続切断 |
ログイン後30日間操作がないと自動的にログアウトされます。しかし、攻撃者がリフレッシュトークンを入手するとアクセスを維持できてしまいます。そのため、「デバイス管理からの削除」が重要なアクションとなります。これにより、サーバー側でそのリフレッシュトークンがブラックリストに追加されます。
五、自動クリーンアップ戦略
現在、Binanceにはデバイスリストを外部から取得するための公開APIはありません。デバイス管理はウェブ版またはアプリ版から手動で行う必要があります。
推奨されるチェック頻度
| 頻度 | アクション |
|---|---|
| 毎日 | メールのログイン通知が実際のログインと一致しているか確認。 |
| 毎週 | デバイス管理にログインし、アクティブなデバイスを確認。 |
| 毎月 | 「Offline」状態の古いデバイス履歴を整理。 |
| 四半期ごと | パスワードを変更し、2FAのバックアップを更新。 |
| 毎年 | ハードウェアセキュリティキー(YubiKeyなど)の導入を再検討。 |
六、セキュリティ・セルフチェックリスト
自分自身のアカウント管理のために、以下のようなリストを作成しておくことをお勧めします。
binance_account:
primary_email: [email protected]
uid: 123456789
2fa:
type: Google Authenticator
backup_key_location: 1Password + 金庫
last_verified: 2026-04-14
anti_phishing_code: Sky7Whale-FV
withdrawal_whitelist:
enabled: true
mode: strict
addresses:
- {coin: BTC, label: Ledger-1, added: 2026-01-15}
- {coin: USDT-TRC20, label: OKX-Main, added: 2026-01-20}
devices:
trusted:
- {name: MacBook Pro M3, ip_range: 203.0.113.0/24}
- {name: iPhone 15 Pro, ip_range: mobile}
last_review: 2026-04-14
api_keys:
- {label: Trading Bot, perms: [spot_read, spot_trade], ip_whitelist: [x.x.x.x]}
この内容をパスワード管理ソフトなどに保存し、定期的に照らし合わせましょう。
七、アプリ版とウェブ版の同期
デバイス管理の情報はウェブ版とアプリ版で共通ですが、入り口が異なります:
| デバイス | アクセスパス |
|---|---|
| ウェブ | アイコン → セキュリティ → デバイス管理 |
| iOSアプリ | 左上のアイコン → セキュリティ → ログイン済みデバイス |
| Androidアプリ | 同上 |
| PC版アプリ | 右上のアイコン → セキュリティ → デバイス |
アプリでログインしている場合、ウェブ版では iPhone 15 Pro ・ iOS 17.4 のようなラベルが表示され、一目で照合できます。
八、緊急時の対応フロー
アカウントが盗まれたと確信した場合は、以下の手順で行動してください:
Step 1 [0-1分] binance.comにログイン + パスワード変更
Step 2 [1-3分] デバイス管理 + すべてを強制ログアウト
Step 3 [3-5分] サポート窓口 + アカウントの緊急凍結を申請
Step 4 [5-10分] すべてのAPIキーを削除
Step 5 [10-30分] 取引/出金履歴を確認 + 証拠としてスクリーンショットを保存
Step 6 [30-120分] 異議申し立て書類 + 身分証明書の写真を提出
Step 7 [2-7日間] サポート担当者による個別対応を待つ
アカウントを凍結すれば、攻撃者がAPIキーやトークンを保持していても、一切の操作ができなくなります。
よくある質問 FAQ
Q1: 強制ログアウトさせた後、攻撃者にすぐに分かりますか?
A: 攻撃者のブラウザページは、次回のAPIリクエスト時に「401 Unauthorized」エラーを返し、多くの場合は自動的にログインページにリダイレクトされます。攻撃者にプッシュ通知が行くことはありません(通知はあなたのアカウントの設定に基づきます)。そのため、あなたの行動は相手にとって「音もなく」実行されます。
Q2: デバイス管理で行ったことのない都市が表示されていますが、IPはデータセンターのものです。どうすればいいですか?
A: 自分が使用しているVPNのサーバーである可能性が高いです。その時間にExpressVPNやNordVPNなどのサービスを使用し、その地域のサーバーに接続していなかったか確認してください。VPNの使用を完全に排除できる場合は、不審なデバイスとして直ちに対処してください。
Q3: ログイン履歴は30日間しか保持されませんか?もっと長く遡れますか?
A: 遡れません。Binanceのウェブ版では30日間のみ公開されています。より長い記録が必要な場合は、定期的にスクリーンショットを保存するか、メールで届く「ログイン通知」を遡って確認してください(Gmailなどは無期限で保持可能です)。
Q4: アプリ版でログアウトさせた後、ブラウザに残っているCookieは使えますか?
A: 使えません。ログアウト操作によりサーバー側でリフレッシュトークンが無効化されるため、ブラウザを含むどのデバイスの古いトークンも、次回のアクセス時に拒否されます。
Q5: スマホのSIMカードを交換した後、再度2FAが必要になりますか?
A: はい。BinanceはSIMの変更を「新しいデバイスの特徴」として識別し、安全のために再度2FA + メール認証を要求します。これはSIMスワップ(SIM Swap)攻撃を防ぐための設計です。
さらに詳しく:カテゴリナビ に戻り、「セキュリティ強化」カテゴリでログイン通知や2FAの復旧手順などのチュートリアルを確認しましょう。