検索エンジンで「Binance公式サイト」と検索すると10件以上の結果が出ることがよくありますが、本物の公式は binance.com というルートドメインただ1つであり、さまざまな接頭辞・接尾辞や類似スペルのものはほとんどがフィッシングサイトかラッパープロキシです。アプリをダウンロードしたい方はBinance公式サイトからBinance公式アプリを入手してください。iPhoneユーザーは先にiOSインストールガイドをご確認ください。以下で真偽を見極める方法を詳しく解説します。
なぜ検索結果はこれほど混乱しているのか
広告枠が偽サイトに買い占められている
Google、Bing、Yandexの上位3位は通常、入札広告枠です。Binanceは暗号資産のトップブランドとして、広告枠が多くの偽サイトによって入札されています。フィッシング運営者は1日に数千ドルを稼げるため、1クリックあたり5〜15元のコストを払って枠を奪い合っています。一般ユーザーは1件目をクリックする習慣があり、まさに罠にはまるわけです。
Binanceのコンプライアンスポリシーにより、多くの地域では自社ブランドキーワード広告を出稿していないため、逆にGoogle検索では自然結果の方がクリーンです。
SEO寄生サイトの氾濫
もう一つのパターンは第三者が作った「Binanceチュートリアルサイト」「Binanceダウンロードサイト」です。それ自体はフィッシングではないものの、Binanceロゴを掲載して公式と誤認させます。このようなサイトのダウンロードボタンは本物の公式サイトに飛ぶこともあれば、彼らのアフィリエイト先に飛ぶこともあります。公式直属ではないが、完全な偽物でもないため、最も判別が難しいタイプです。
3ステップで真偽を見極める
ステップ1:ドメインのスペルを確認
結果のリンクをコピーして、binance.com と1文字ずつ照合します:
- b-i-n-a-n-c-e-.-c-o-m 合計11文字
- 1文字でもずれ、多い、少ないがあれば偽物
- サブドメインは信頼可能(accounts.binance.com、futures.binance.com など)、ただし接尾辞の置き換えは偽物(binance.cc、binance.xyz、binance.top はすべてメインサイトではない)
ステップ2:証明書と暗号化を確認
アドレスバーの鍵マークをクリックして証明書を表示します。本物のBinance証明書は以下の特徴があります:
- 発行者が DigiCert や Sectigo などの一流CA
- 保有者組織名が Binance Holdings Limited または Binance Capital Management Co. Ltd
- 有効期限は通常13か月以内(ブラウザの新規定に準拠)
- SANリストに *.binance.com ワイルドカードが含まれる
フィッシングサイトはLet's Encryptの無料証明書を使うことが多く、保有者組織情報は空白かでたらめな文字列です。
ステップ3:ページ機能を確認
ページを開いていくつか試してみます:
- 「ログイン」をクリックして、二要素認証の選択肢(Google Authenticator、メール、SMS、Passkey)がポップアップするか確認
- 「マーケット」をクリックして2000以上の取引ペアのリアルタイムレートがあるか確認
- 最下部までスクロールしてBinance Academy、Binance Charityの入口を探す
- F12開発者ツールでNetworkリクエストを確認し、正常なドメインリクエストには websocket-api.binance.com、api.binance.com が含まれる
これらをすべて通過すれば、ほぼ本物のサイトです。
よくある偽サイトの対比
| ドメイン | 性質 | リスク |
|---|---|---|
| binance.com | 公式メインサイト | なし |
| binance.us | 米国独立エンティティ | メインサイトとは連携なし、偽ではないがメインサイトでもない |
| binance.info | 無関係サイト | マーケティング目的の可能性 |
| binancer.com | フィッシング | アカウントとパスワードが盗まれる |
| bianance.com | フィッシング | aが1文字多い偽物 |
| binance-app.xxx | ラッパーダウンロードサイト | APKにトロイが仕込まれる可能性 |
偽サイトでパスワードを入力してしまった場合
直ちに3つのことを実行
- 本物の公式サイト binance.com を別のブラウザで開いてログインし、ログインパスワードと資金パスワードを変更
- 古い2FAを解除し、新しいGoogle Authenticatorを再紐づけ
- すべてのAPIキーを無効化して再作成
フィッシングサイトがパスワードを取得した最初の行動は通常、数分以内に発注で現物を小型コインに交換し引き出すことなので、素早い対応が必要です。
直近の出金記録の確認
アカウントセンターの「セキュリティ」ページで過去24時間のログインIPを確認します。異常なIPを見つけたら直ちにアカウント凍結を申請してください。カスタマーサポートは7×24時間対応です。
二度と誤クリックしないために
ブラウザレベル
binance.com をブラウザのブックマークに追加して上部に固定します。ChromeユーザーはChrome Web Storeで開発者 Binance で「Binance公式拡張機能」を検索してインストールすると、偽サイトに入ったときに警告が表示されます。
システムレベル
上級ユーザーは hosts ファイルで一般的な偽ドメインを 127.0.0.1 に指定し、ローカルでブラックリスト化することもできます。ただしメンテナンスコストが高いため、ハイリスクユーザー向けです。
FAQ
Q1:検索結果の1件目は必ず偽物ですか? 必ずしもそうではありません。自然順位か広告かによります。広告枠が偽サイトに買い占められている確率が高く、自然順位の1位は本物の公式である可能性が高いです。
Q2:「安心購入」や公式サイト認証マークは信頼できますか? 認証自体には参考価値がありますが、認証情報が盗用された事例もあります。認証マークは自分でドメインと証明書を照合することの代替にはなりません。
Q3:フィッシングリンクをクリックしたがログインしなければ大丈夫? 単にアクセスするだけでログインしなければリスクは低く、主にアクセスログが記録される程度です。ただしフィッシングサイトは0dayブラウザ脆弱性を仕込んでいる可能性があるため、ブラウザを最新版に保つのは基本です。
Q4:Binanceアプリにもなりすましはありますか? あります。Google PlayやApp Storeで複数の偽アプリが出回ったことがあります。開発者名が Binance、評価数が数十万以上のものを選んでください。
Q5:「Binanceログイン」と「Binance公式サイト」で検索結果が違いますか? 違います。検索エンジンはキーワードマッチングに基づいており、語句によって広告プールが異なります。フィッシングサイトは「ログイン」「ダウンロード」といった高コンバージョン語を狙って出稿しています。