検索エンジンで「Binance公式サイト」と検索すると、十数件の結果がよく表示されますが、本物の公式入り口は binance.com 1 つだけで、その他の多くは SEO でトップに押し上げられた偽サイトや、キーワード広告を購入したフィッシングサイトです。この記事では、検索広告枠、Punycode の文字偽造、前後の文字列によるドメイン偽装の 3 種類の主要な手口から偽サイトの特徴を分解し、一目で本物と偽物を見分けられるようにします。本物の入り口にすぐアクセスしたい場合は Binance公式サイト または Binance公式アプリ をご利用ください。モバイル端のインストール問題は iOSインストールガイド をご参照ください。
検索広告枠は偽サイトの重大な被害地
広告枠の「公式」ラベルには一切の拘束力がない
Google、Bing、百度の広告枠には「スポンサー」や「広告」と表示されますが、広告システムは出稿アカウントしか審査しておらず、ドメインが本当の公式かどうかは審査していません。入札額さえ十分高ければ、誰でも自分の偽サイトを検索結果の最上部に表示させることができます。過去には Binance の偽サイトが長期にわたり広告枠を占有したケースが何度も発生しています。
広告リンクの URL はリダイレクトを経由している
偽サイトの広告をクリックすると、1 度トラッキング用のリダイレクトチェーンを経由し、最終的な着地ドメインは binance-login.cc や binance-official.io のような、一目で怪しいアドレスになっていることがあります。ただしリダイレクトが速いため、ユーザーは気づく間もなくパスワードを入力してしまうことが多いのです。
識別方法はシンプル
検索結果に「スポンサー/広告」の表示があれば、すべてスキップして下にスクロールし、自然検索結果を探してください。自然検索結果の中で最初の binance.com で始まるものが公式です。より確実な方法は、アドレスバーに直接 binance.com と入力することです。
Punycode は最も巧妙な偽装手口
Punycode とは
Punycode は、Unicode 文字(中国語、ロシア語、ギリシャ文字など)を ASCII で表示可能なドメインに変換する標準です。たとえば xn--80ak6aa92e.com は Chrome では「аpple.com」と表示されますが、その а は英語の a ではなく、キリル文字の а です。
Binance を標的にした偽装事例
かつて bіnance.com(i はキリル文字の і)、binаnce.com(a はキリル文字の а)といった偽ドメインが登場しました。肉眼ではまったく binance.com に見えますが、実は完全に異なるドメインで、Binance の資産ではありません。
見分け方
- ブラウザのアドレスバーの URL 全体をコピーし、プレーンテキストエディタやメモ帳に貼り付けて確認します。Punycode はプレーンテキスト中では xn-- で始まる ASCII 形式で表示され、その場で露見します。
- Chrome と Firefox はいずれも混合スクリプトドメインに対する警告を内蔵しており、ブラウザに「アクセスしているドメインは偽装されている可能性があります」と表示されたら、絶対に無視しないでください。
- ブックマークからのみアクセスする習慣を付ければ、この種の文字偽造に引っかかりません。
前後の文字列による偽装手口
ハイフンによる偽装
binance-login.com、binance-app.com、binance-vip.com、binance-official.com のようなハイフン付きドメインは 99% が非公式です。Binance 公式は binance.com と公式発表されたいくつかのバックアップドメイン(binance.info、binance.bz など)しか使用せず、ハイフン付きのセカンドレベルドメインをログイン入り口として使用することはありません。
サブドメインの偽装
login.binance-safe.com、user.binance-account.net のような構造は、binance をサブドメインではなくメインドメインに置き、サブサイトのように見せかけますが、実は binance-safe.com というメインドメイン自体が他人が登録したものです。本物の Binance のサブドメイン構造は accounts.binance.com、www.binance.com のように、メインドメインは常に binance.com です。
トップレベルドメインの置き換え
binance.net、binance.org、binance.vip、binance.top、binance.cn のように TLD を置き換えたドメインは、その大半が Binance 公式には属しません。binance.com、binance.info、binance.bz、binance.us のみが Binance 公式の正式な資産です。
本物と偽物の比較表
| 特徴 | 本物の公式 | 偽サイトの典型的な表れ |
|---|---|---|
| ドメイン | binance.com | binance にハイフン/文字置換/TLD置換 |
| 証明書 | 信頼された CA 発行 | 自己署名、期限切れ、主体が一致しない |
| ページ下部 | 完全な会社情報、サポート、規約 | 情報欠落またはコピペが雑 |
| サポート入り口 | support.binance.com へ遷移 | 偽サポートや Telegram グループへ |
| アプリダウンロード | binance.com/download を指す | 第三者ネットディスクや apk サイトを指す |
| ログイン後の資産 | アプリと同期 | ログイン後ページが固まる、または飛ばされる |
検索時の防御習慣
ブックマークからのみアクセスする
初回に公式サイトであることを確認したら、すぐにブックマークして、以降は必ずブックマークから入ります。これが偽装を防ぐ最も効果的な単独の習慣であり、どんなブラウザ拡張をインストールするよりも有効です。
「HTTPS only」モードを有効にする
Chrome、Edge、Firefox にはいずれも「常に HTTPS を使用」のスイッチがあります。有効にすると、HTTPS 以外のページにアクセスする際にブラウザが強制的に警告を出します。偽サイトの中には HTTPS 証明書の設定を怠ったり自己署名証明書を使ったりするものがあり、この機能を有効にすれば一部を遮断できます。
アンチフィッシングコードを有効にする
Binance にログイン後、「セキュリティセンター」でアンチフィッシングコード(通常は 3〜4 文字の英数字)を設定します。以降、Binance からの公式メールはすべてヘッダー部分にこのコードが表示され、偽メールには表示されません。フィッシングメールを識別するうえで鍵となるツールです。
公共 Wi-Fi ではログインしない
空港やカフェの公共 Wi-Fi は中間者攻撃で DNS が改ざんされる可能性があり、binance.com と入力しても攻撃者のサーバーに解決される恐れがあります。モバイルデータが使えるなら公共 Wi-Fi で Binance にログインしないようにし、どうしても使うなら先に VPN を起動してください。
よくある質問
百度検索の 1 件目は公式ですか
必ずしもそうではありません。百度検索結果の最上部はしばしば有料広告枠となっており、本物の binance.com は 2 画面目に押し下げられることがあります。広告をスキップする習慣を付け、自然検索で最初の binance.com で終わるリンクを探してください。
偽サイトに遭遇してログインクリックしてしまった場合はどうすればよいですか
直ちに 3 つのことを行ってください。本物の公式サイトでパスワードを変更する、2FA を無効にして再バインドする、API Key に異常な権限がないか確認する。その後、メールボックスにログインして最近のログイン通知を確認し、攻撃者がすでにログインを試みていないか確認してください。
ブラウザの「安全」「鍵マーク」アイコンは完全に信用できますか
鍵マークは HTTPS 通信が暗号化されていることのみを示し、ドメイン自体が公式であることを示すわけではありません。偽サイトでも同様に有効な Let's Encrypt 証明書を設定して鍵マークを表示できます。鍵マークは接続の暗号化しか証明できず、身元の真正性は証明できません。
カスタマーサポート電話で URL を確認できますか
Binance には中国本土向けに公開された中国語カスタマーサポート電話はありません。自分は Binance カスタマーサポートだと名乗って電話してきたり WeChat を追加してきたりする者は高度に疑う必要があります。公式サポートは support.binance.com でチケットとウェブチャットのみ提供しています。
第三者のナビゲーションサイトのリンクは信用できますか
信用度はナビゲーションサイト自身の信頼性に依存します。業界で著名でないナビゲーションサイトの使用は推奨されず、偽サイトがしばしばナビゲーションサイトを買収したり偽装したりしています。最も確実なのは自分でブックマークを保存することです。