バイナンスのフィッシングサイトを見分けるには？5つの特徴と実際の詐欺事例

バイナンスが2025年第4四半期に発表したセキュリティレポートによると、年間で1,200件以上のフィッシングドメインをブロックしており、平均して毎月80件の新しい偽サイトが出現しています。これらのサイトのほとんどは、「アカウント情報の窃取」と「2段階認証コードの傍受」の2点を目的にしています。偽サイトでこれらを入力してしまうと、攻撃者はわずか30秒以内に資金を移動させることが可能です。被害を未然に防ぐ最も確実な方法は、バイナンス公式サイト から検証済みの入口を利用するか、バイナンス公式アプリ をダウンロードしてアプリ経由で利用することです。ブラウザでのログインを好む場合は、本記事で紹介する「5つの識別特徴」を確認するだけで、現在の偽サイト手法の99%をカバーできます。

1. なぜフィッシングサイトの識別は難しいのか

クローニング技術の進歩

2023年以前の偽サイトは作りが粗く、フォントやアイコン、色の違いが目に見えてわかりました。しかし、2024年以降のサイトは Puppeteer や Chrome Headless などのツールを使用して公式サイトの HTML/CSS/JS を丸ごとコピーして構築されているため、視覚的な差異はほとんどありません。中には、公式サイトの WebSocket ストリームをリアルタイムで転送し、価格変動やチャートを本物に見せかけ、ログイン処理のみを乗っ取る高度なものも存在します。

攻撃者のリソース投入

価値の高い偽サイトでは、以下のような高度な手法が使われています：

• ドメイン：中古ドメイン（運用歴3〜5年）を二次市場で購入し、新規ドメイン向けのセキュリティフィルタを回避します。
• 証明書：有料の DigiCert OV 証明書を取得し、ブラウザに 🔒 アイコンを表示させます。
• CDN：Cloudflare Pro プランなどを利用し、高速なレスポンスを実現します。
• 広告運用：Google Ads、Twitter Ads などに大量に出稿。アカウントが凍結されても即座に新しいアカウントに切り替えます。
• SMS攻撃：「アカウントに異常があります。binance-xxx.com から確認してください」といった内容のショートメッセージを一斉送信します。

投資コストが高い偽サイトほど見分けがつきにくいため、直感ではなく「システム化されたチェックリスト」による確認が不可欠です。

2. 特徴1：ドメインの綴りと拡張子の異常

よくある綴りのバリエーション

本物のバイナンスドメインは、常に以下のいずれかです：

• binance.com（メインサイト）
• binance.us（米国居住者向け）
• binance.info / binance.bz / binance.org（グローバルミラーサイト）
• binance.co.jp（日本国内居住者向け）

偽サイトのドメインパターンの分類：

タイプ	例	識別のヒント
文字の置き換え	binanca.com、bInance.com	大文字・小文字の I/l/1 の混同
文字の増減	binnace.com、binancce.com	文字が多い、または足りない
文字の順序	biannce.com、bincane.com	2文字が入れ替わっている
前後の修飾	binance-vip.com、mybinance.com	vip/pro/cn/login などの付加
特殊な拡張子	binance.top、binance.xyz、binance.live	非公式な TLD
サブドメイン偽装	login.binance-safe.net	binance を2級ドメインに配置

確認方法の実践

ブラウザのアドレスバーの左端を確認し、プロトコルからパスまで1文字ずつチェックしてください。URLが長くて見づらい場合は、メモ帳にコピーして拡大して確認することをお勧めします。

Chrome や Edge ユーザーは、「常に完全な URL を表示する」設定を有効にすることをお勧めします（アドレスバーを右クリック →「常に完全な URL を表示」）。これにより、省略されたドメインに惑わされることがなくなります。

3. 特徴2：証明書の発行機関と有効期限

本物のバイナンスの証明書設定

Chrome で本物のバイナンスサイトを開き、🔒 アイコン →「証明書」をクリックして確認してください：

• 発行者 (Issuer): DigiCert Inc（メインサイト）/ Cloudflare Inc（ミラーサイト）
• 対象 (Subject): *.binance.com（ワイルドカード）
• 証明書の種類: Extended Validation (EV) または Organization Validated (OV)
• 有効期限: 通常 13〜15 ヶ月
• 組織情報: BINANCE HOLDINGS LIMITED（EV 証明書特有）

偽サイトの証明書の特徴

• 発行機関：ほぼすべてが Let's Encrypt や ZeroSSL などの無料証明書を使用しています。
• 種類: Domain Validated (DV) のみで、組織情報は含まれません。
• 有効期限が短い：Let's Encrypt の場合、デフォルトで 90 日間です。
• 対象範囲：Subject が binance とは無関係な独自のドメインになっている場合があります。

EV 証明書の申請には法人実名審査が必要で、通常 7〜10 日の期間と数百ドルの費用がかかります。偽サイト運営者はこのコストをかけません。発行機関が DigiCert ではない場合、偽サイトである可能性が極めて高いと判断できます。

4. 特徴3：ログインプロセスの異常

本物のバイナンスのログインの流れ

1. accounts.binance.com/login にアクセス。
2. メールアドレスまたは電話番号を入力し、「次へ」をクリック。
3. パスワードを入力。
4. スライドパズルなどの認証が表示される場合があります。
5. 2段階認証（メール、SMS、Google Authenticator など）を入力。
6. ログイン成功後、binance.com のトップページに移動。上部に「アンチフィッシングコード」が表示されます。

アンチフィッシングコードは、設定済みのユーザーがログインした後にのみ表示されます。偽サイトはこのコードを偽造できません。

偽サイトの異常な挙動

• 情報の全入力を一度に要求：アカウント、パスワード、2FA コードを同じページで同時に入力させる（本物はステップ分けされています）。
• 「セキュリティプラグイン」のダウンロードを強要：.exe や .apk ファイルをインストールしないとログインできないと表示する。
• ログイン後の不自然な遷移：ログイン成功後、無関係なページに飛ぶ。
• アンチフィッシングコードが空白、またはデフォルト値。
• 設定している 2FA 方式がサポートされていない：例えば Google Authenticator を設定しているのに、SMS コードの入力しか求められない場合。

アンチフィッシングコードの役割

アンチフィッシングコードは、バイナンスのセキュリティセンターで設定した 6〜8 桁の任意の文字列です。公式メールやログイン後のページ上部には必ずこのコードが含まれます。偽サイトはあなたのコードを知らないため、空欄にするか、「Binance」などのデフォルト値でごまかします。表示されたコードが設定したものと異なる場合は、即座にログアウトし、パスワードを変更してください。

5. 特徴4：WHOIS と DNS 情報

WHOIS情報の確認

whois binance.com で検索した際、注目すべき項目は以下です：

• Registrar (登録業者): MarkMonitor, Inc.（専門のブランド保護業者）
• Creation Date (作成日): 2017-04-20
• Registrant Organization (登録組織): Binance Holdings Limited
• Name Servers: dns1.p08.nsone.net などの NS1 ホスティング

偽サイトの WHOIS の異常

• 登録業者：GoDaddy、NameCheap、Porkbun などの安価なレジストラ。
• 登録期間：作成日が最近（30〜180日以内）。
• 登録者情報：非表示（Privacy Protection）または個人のメールアドレス。
• ネームサーバー：無料の DNS サービス（Cloudflare Free など）を利用。
• 同一IP下の大量ドメイン：ひとつの IP アカウントに binance-xxx.com、bnb-yyy.com など、バイナンス関連のドメインが数十個紐づいている。

6. 特徴5：ソーシャルエンジニアリングの経路

よくある誘導パターン

フィッシングサイトは単体ではアクセスが集まらないため、必ず誘導経路が存在します。

1. 「異常ログイン」通知メール：送信元を偽装し、「不正ログインを検知しました。確認してください」と偽リンクへ誘導。
2. エアドロップ/還元広告：Twitter や YouTube で「新規ユーザーに 500 USDT 配布」といった偽のキャンペーンを謳う。
3. SNSでの個別メッセージ：WeChat や Telegram で「バイナンスカスタマーサポート」を名乗る人物から連絡が来る。
4. SMSフィッシング：「2段階認証が失敗しました。xxx.cn でリセットしてください」というメッセージ。
5. 検索エンジンの広告：Google などで「バイナンス ログイン」と検索した際、最上部の有料広告枠に偽サイトが表示される。
6. QRコード偽装：QRコードを読み取ると VIP 特典がもらえると偽り、実際にはアプリのログイン権限を盗み取ります。

防御の基本原則

バイナンスがユーザーに対し、一方的にログインを要求することはありません。メールや SNS で送られてくる「公式リンク」はすべて疑ってください。

• バイナンス公式サイト に掲載されている公式ドメインと比較する。
• メールのリンクをクリックせず、手動でドメインを入力してアクセスする。
• 公式サポートとはアプリ内、または binance.com/support のチャットシステムでのみ連絡を取る。

7. 推奨されるブラウザ保護プラグイン

無料で効果的な拡張機能

拡張機能	主な機能	対応ブラウザ
uBlock Origin	偽サイトの広告やリダイレクトをブロック	Chrome / Edge / Firefox
MetaMask	フィッシングドメインのブラックリストを内蔵	Chrome / Edge / Firefox
Scam Sniffer	ブロックチェーン関連のフィッシング検知	Chrome / Firefox
Netcraft	リアルタイムのフィッシング評価	Chrome / Firefox / Edge

導入後は、誤検知を防ぐために binance.com や binance.info などの公式ドメインをホワイトリストに追加することをお勧めします。

8. 偽サイトに遭遇した際の対処法

情報は入力していないがサイトを開いてしまった場合

1. 即座にタブを閉じる。
2. ブラウザの履歴（該当 URL）を削除する。
3. メールの場合は「フィッシング報告」を行う。
4. [email protected] へ URL を通報する。

アカウント情報を入力してしまった場合

緊急事態です。30分以内に以下の対応をすべて完了させてください：

1. 本物のバイナンスにアクセスし、即座にパスワードを変更。
2. 既存の 2FA を解除し、Google Authenticator などを再設定。
3. アンチフィッシングコードを変更。
4. API キーをすべて削除し、再作成。
5. ログイン履歴から身に覚えのない IP やデバイスを確認。
6. 「出金ホワイトリスト」を有効化し、信頼できるアドレスのみに出金を制限。
7. セキュリティ設定から「アカウントの無効化（一時凍結）」を申請。

これにより、攻撃者が古い情報を入手していても資金を動かすことはできなくなります。詳細は セキュリティ強化 カテゴリのガイドを参照してください。

すでに資金が盗まれてしまった場合

1. アプリ内から即座に有人カスタマーサポートに連絡。
2. 盗まれた取引のハッシュ値とタイムスタンプを提出。
3. バイナンスのリスク管理部門が、盗まれた資金がバイナンス内の別口座へ流れるのを阻止するよう試みます。
4. 地元の警察機関へ被害届を提出してください。

よくある質問 FAQ

Q1: フィッシングサイトはどうやって私の 2FA コードを入手するのですか？

A: リアルタイム・リレー攻撃（中継攻撃）です。攻撃者のサーバーがバックグラウンドで本物のログイン画面を動かしており、あなたが偽サイトに入力したコードを即座に本物へ転送してログインを完了させます。SMS やメールによる認証は有効期間が長いため、この攻撃を受けやすいです。ハードウェア認証（YubiKey）を使用すれば、この種の攻撃を完全に防げます。

Q2: バイナンスから電話がかかってくることはありますか？

A: ありません。バイナンス公式が電話や Telegram、LINE などで一方的に連絡してくることはありません。サポートを名乗る電話や、画面共有ソフトのインストール要求はすべて詐欺です。

Q3: ブラウザのブックマークだけで対策は十分ですか？

A: 概ね有効です。ブックマークからのみアクセスしていれば、理論上偽サイトへ行くことはありません。ただし、最初にブックマークした URL が本物であることを必ず確認してください。

Q4: バイナンスのアプリにも偽物はありますか？

A: はい。GitHub や非公式なアプリストアに偽の APK がアップロードされることがあります。必ず バイナンス公式サイト から取得し、iOS ユーザーは App Store の公式ページからのみ取得してください。

Q5: 今見ているドメインが本物か確信が持てません。

A: (1) ドメインの綴りが正確か、(2) 証明書の発行者が DigiCert か、(3) WHOIS の登録業者が MarkMonitor か。この3点を確認してください。不明な点は バイナンス公式サイトのSSL証明書確認手順 を参照してください。

アカウントセキュリティについてさらに詳しく知りたいですか？ カテゴリナビ から「セキュリティ強化」や「公式サイト」カテゴリに移動するか、全ガイド から最新の記事を確認しましょう。