2026年のバイナンス公式サイトの標準入口は依然としてbinance.comであり、ログインと2FA認証はaccounts.binance.comに集中しています。一言で結論を述べるなら、URL・HTTPS証明書のサブジェクト・公式Xアカウントのピン留めリンク・フッターの登録情報、この4カ所が完全に一致していなければなりません。BiTanは独立した第三者チュートリアルサイトであり、バイナンス公式とは雇用関係も資本関係もありません。本稿では口座セキュリティの観点から必要な検証フローを最初から最後まで解説し、入金前に偽サイトの罠を発見できるよう支援します。
BiTanが観察した直感に反する現象として、取引経験が豊富なユーザーほど偽サイトの攻撃を受けやすい傾向があります。理由は、熟練者ほどショートカットログインやブラウザの自動リダイレクトを使う習慣があり、かえって文字列比較のステップを飛ばしてしまうためです。以下、ドメイン・証明書・アプリ・カスタマーサポートの4つの側面から展開します。
一、2026年バイナンス公式サイトのドメイン構造
1.1 主入口とログインセンター
binance.comはグローバル版の主入口、accounts.binance.comはログインと2FA認証のセンターです。両者は同一のワイルドカード証明書を使用しており、証明書のサブジェクトにはBinance Holdings Ltdが表示されます。独立したbinance-login.io、accounts-binance.ioなどはいずれも公式資産ではありません。
1.2 マーケット情報とAPI
api.binance.comはREST APIを、stream.binance.comはWebSocketマーケット情報を提供します。両者ともアカウントとパスワードによるログインは不要です。もしapiドメインでパスワード入力を求められたら、直ちにブラウザを閉じて本物のaccountsドメインでパスワードを変更してください。
1.3 公開データとブランドサイト
binance.infoは公開データ開示サイト、academy.binance.comは学習センター、research.binance.comはリサーチレポートセンターです。これら3つのドメインはログインを要求しません。強制ログインを求めるバージョンに遭遇したらすべてフィッシングです。
1.4 2026年バイナンス公式サイトアドレス早見表
| ドメイン | 用途 | ログインの要否 | リスクレベル |
|---|---|---|---|
| binance.com | グローバル版主入口 | 必要 | 低 |
| accounts.binance.com | ログインと2FA | 必要 | 低 |
| www.binance.com | 主入口のエイリアス | 必要 | 低 |
| api.binance.com | 公開API | APIキー | 低 |
| stream.binance.com | マーケット情報配信 | 不要 | 低 |
| binance.info | データ開示 | 不要 | 低 |
| academy.binance.com | 学習センター | 不要 | 低 |
二、真偽バイナンス公式サイト判別5ステップ
2.1 ステップ1:アドレスバーに手動入力
検索エンジンのスポンサー枠は絶対にクリックしないでください。アドレスバーに手動でbinance.comと入力し、文字の順序、ドットの位置が正しいことを確認してください。バイナンスアカウント登録の前に必ずこのステップを実行してください。
2.2 ステップ2:HTTPS証明書を確認
アドレスバー左側の鍵アイコンをクリックして証明書を開きます。発行サブジェクトはBinance Holdings Ltdまたは認可された子会社であり、発行機関は通常DigiCertまたはCloudflare Inc ECC CA-3です。偽サイトはLet's Encryptと見慣れないトップレベルドメインの組み合わせを多用します。
2.3 ステップ3:公式Xアカウントとクロス検証
@binance公式アカウントのピン留めツイートを開きます。2026年のピン留めツイートには主ドメインとbinance.usのリンクが固定的に列挙されています。URL文字列が完全に一致するか比較してください。
2.4 ステップ4:フッターの登録情報を確認
バイナンスグローバル版のフッターには2026年も引き続きケイマン諸島の法人住所、ドバイVARAライセンス番号、フランスPSAN登録番号が表示されます。3つのうち1つでも欠けていれば偽サイトです。口座セキュリティチャンネルにスクリーンショットのサンプルがあります。
2.5 ステップ5:未ログイン端末で再検証
バイナンスに一度もログインしたことのない別の端末で再度アクセスします。偽サイトは静的テンプレートを多用するため、未ログイン状態では多言語切り替え、コンプライアンスポップアップ、動的なマーケット情報配信が欠けています。Q:再検証にはどのくらい時間がかかりますか。A:実測で約90秒、コストパフォーマンスが最も高いステップです。
三、アプリインストーラーの真偽照合
三.1 Android APKハッシュ検証
バイナンスグローバル版APKインストーラーの2026年第2四半期のSHA-256ハッシュは64桁の16進数です。バイナンス公式アプリをダウンロードチャネルでダウンロードした後、システム標準のcertutilまたはサードパーティのハッシュツールで検証してください。ハッシュが一致しないパッケージは絶対にインストールしないでください。
3.2 iOSのインストール元
Apple版BinanceはApple Storeの米国リージョン、日本リージョン、UAEリージョンでのみ配信されています。中国本土のApp Storeには長期にわたりこの項目はありません。エンタープライズ証明書や構成プロファイルのクリックを求める「ベータ版」はすべてトロイの木馬です。
3.3 デスクトップクライアント
バイナンスデスクトップ版は主ドメインでのみダウンロード入口を提供しており、ファイル名はBinanceSetupで始まります。Q:サードパーティのダウンロードサイトは信頼できますか。A:そのサイトが公式ハッシュを同期公開し自動比較できる場合を除き、推奨しません。
四、よくあるフィッシング亜種対照表
| フィッシングドメイン | 手口 | 初出時期 | 主な被害 |
|---|---|---|---|
| bnance.com | 文字iの欠落 | 2024 Q3 | ログイン情報窃取 |
| binance-app.com | 偽ダウンロードページ | 2025 Q1 | トロイの木馬APK |
| bіnance.com | キリル文字の同形字 | 2025 Q2 | IDN詐欺 |
| binance.support | 偽カスタマーサポートドメイン | 2025 Q3 | リモート支援詐欺 |
| binance-login.io | 偽ログイン中継 | 2025 Q4 | 2FAコード窃取 |
| binance-pro.com | 偽VIPアップグレード | 2026 Q1 | 不正入金誘導 |
| binance-claim.xyz | 偽エアドロップ活動 | 2026 Q2 | ウォレット秘密鍵漏洩 |
| binance-kyc.cc | 偽本人確認 | 2026 Q2 | 身分証明書漏洩 |
4.1 偽カスタマーサポートの話術
偽サイトは「カスタマーサポートが1対1で指導します」と称してTelegramやWeChatの追加を要求しますが、バイナンス公式はインスタントメッセージアカウントを主動的に追加することはありません。クライアントチャンネルに多数の話術録音事例がまとめられています。
4.2 偽コンプライアンスと偽エアドロップ
「コンプライアンス審査通過のため資料を補充してください」「エアドロップ事前受領」などの話術はいずれも2026年に頻発する詐欺手口です。シードフレーズの提供や秘密鍵のエクスポートを要求する依頼はすべて詐欺です。
五、各国・地域のアクセス差異
5.1 中国本土
越境アクセスは自身で回線問題を解決する必要があり、バイナンスは中国本土内で代理を認可していません。「本土直結」を謳う仲介はすべてコンプライアンス違反の疑いがあり、そのような宣伝に遭遇したら直接通報できます。
5.2 香港・マカオ・台湾
香港ユーザーがアクセスするとSFCのリスク警告が表示され、マカオは現時点で独立したライセンスを発行しておらず、台湾ユーザーが主ドメインにログインするとVASP登録声明の閲覧が強制されます。
5.3 海外華人コミュニティ
シンガポールはMASコンプライアンス子サイトを経由し、カナダは現地法人版を経由します。Q:強制リダイレクトはハイジャックされているのですか。A:違います。強制コンプライアンスリダイレクトは本物サイトの特徴です。
六、リスク注意事項
2026年第2四半期のオンチェーン分析企業Ellipticのレポートによると、世界でバイナンスブランドに関連するフィッシング案件は計14,300起記録され、被害金額は累計6720万美元、平均1件あたりの損失は4700美元です。BiTanは厳重に注意喚起します。本稿は検証フローの説明に過ぎず、投資助言を構成するものではありません。すでに偽サイトでアカウントとパスワードを入力してしまったユーザーは、直ちに本物のaccounts.binance.comでパスワードを変更し、2FAをリセットし、すべてのAPIキーを無効化し、出金ホワイトリストを有効化し、ダウンロードページからクライアントを再インストールしてください。バイナンスアカウント登録の際は必ずアドレスバーを再度確認してください。
七、よくある質問
7.1 URLに鍵マークがついていれば必ず本物サイトですか。
違います。緑の鍵は通信の暗号化を示すのみです。必ず証明書を開いて発行サブジェクトを確認してください。
7.2 カスタマーサポートは電話で連絡してきますか。
来ません。バイナンスグローバル版はサイト内メッセージ、メール、チケットシステムでのみ連絡します。主動的な電話はすべて詐欺です。
7.3 ウォレットのリンクに本物ドメインが表示されていてもなぜ騙される可能性があるのですか。
署名誘導の有無に注意してください。ドメインが正しくても、悪意のあるスクリプトが偽の署名ページをポップアップして送金を承認させる可能性があります。
7.4 フィッシングリンクをクリックしたが情報を入力しなかった場合はどうすればよいですか。
直ちにブラウザのCookieとキャッシュをクリアし、端末に拡張機能が埋め込まれていないかスキャンしてください。
7.5 サードパーティのシードフレーズウォレットをインストールしてからバイナンスに直接接続できますか。
バイナンスグローバル版は外部ウォレットの直接接続をサポートしておらず、すべての入出金はアカウントログインが必要です。「ウォレットからバイナンス直結」を謳う入口はすべて詐欺です。
7.6 パスワードマネージャーの自動入力は識別の助けになりますか。
なります。パスワードマネージャーはドメイン単位で厳格に照合するため、フィッシングドメインでは自動入力が起動せず、それ自体が一つの識別手段となります。
八、口座セキュリティ体系の構築
8.1 認証情報の階層管理
BiTanは長期にわたり口座盗難事例を追跡してきましたが、被害者の大多数がバイナンス口座のパスワードを他のサイトのパスワードと共用していることが判明しました。一つの外部データ漏洩があれば、攻撃者がメールアドレスとパスワードの組み合わせで直接バイナンスにログインできてしまいます。バイナンス口座には16文字以上、大文字小文字、数字、記号を混在させた複雑なパスワードを単独で設定し、パスワードマネージャーで保管することを推奨します。同時にGoogle Authenticatorまたはハードウェアキーを2段階認証として有効化してください。
8.2 端末の分離とホワイトリスト
取引端末と日常利用端末を分離してください。理想的にはバイナンスとウォレットアプリ専用のサブ端末を1台用意し、ブラウザ拡張機能をインストールせず、メールリンクをクリックせず、SNSを閲覧しないようにします。バイナンスグローバル版は端末ホワイトリスト機能をサポートしており、信頼端末をホワイトリストに追加すると、見知らぬ端末からのログイン時にメール警告がトリガーされます。
8.3 出金ホワイトリストとクーリング期間
バイナンスグローバル版は2026年に72時間の出金クーリング期間を提供しています。新規追加された出金アドレスは72時間待たないと初回使用ができません。この仕組みにより、フィッシング被害ユーザーが攻撃者が資産を移そうとする前に異常を発見し介入できます。BiTanはすべての初心者に直ちに有効化することを推奨します。
8.4 APIキーの最小権限原則
APIキーを使ってサードパーティの定量取引ツールやマーケット情報ツールに接続する場合、APIキーの権限を必ず読み取り専用、取引専用、出金不可に設定してください。同時にAPIキーに固定IPホワイトリストをバインドしてください。BiTanは2026年第1四半期にAPIキーの権限が過大であったために資産が移転される事件が複数発生し、単件最大損失は48万美元に達したと観察しています。
九、技術レベルの高度な攻撃の進化
9.1 中間者プロキシ方式
2026年に観測された高度な偽サイトは中間者プロキシ方式を採用しています。攻撃者は偽ページを本物サイトのリアルタイムリバースプロキシとして構築し、ユーザーが入力したアカウント、パスワード、2段階認証コードを逐一本物サーバーに転送し、最終的なセッショントークンのみを傍受します。この攻撃は単純に2段階認証に依存するユーザーにとって致命的であり、唯一信頼できる対策はハードウェアキーの使用です。
9.2 偽ブラウザ更新と偽アプリストア
偽サイトは「ブラウザのバージョンが古いため更新してください」または「アプリストアに新バージョンがあります」というプロンプトをポップアップさせ、システムコンポーネントを装ったトロイの木馬のダウンロードに誘導します。識別ポイントは、本物の更新は常にブラウザまたはOSの内蔵設定ページで完了し、外部のWebページのポップアップで行われることは絶対にないという点です。
9.3 DNS汚染と公共Wi-Fiのリスク
公共Wi-Fi環境では、攻撃者はDNS汚染によりbinance.comの名前解決結果を偽サーバーに向けることができます。入力したURLが完全に正しくても、ブラウザが実際にアクセスするのはフィッシングサイトです。対策はHTTPSベースのDNS、例えばDNS-over-HTTPSやNextDNSを有効化することです。
9.4 ブラウザ拡張機能による静かなハイジャック
悪意のある拡張機能はブックマークバーのリンクを静かに改変し、本物の主ドメインをフィッシングドメインに置き換えることができます。毎週拡張機能管理ページを開いて素早く一通り確認し、不要な拡張機能をすべてアンインストールし、パスワードマネージャー、広告ブロッカー、ハードウェアキーサポートプラグインのみを残すことを推奨します。
十、緊急対応フロー
10.1 30分のゴールデンタイム
先ほどパスワードを入力したページが偽サイトではないかと疑った場合、30分以内に以下のアクションを完了する必要があります。ブラウザを閉じる、ネットワークを切断する、端末を機内モードにする、サブ端末で本物のaccounts.binance.comにログインする、パスワードを変更する、2FAをリセットする、すべてのAPIキーを取り消す、すべての認可端末を取り消す、出金ホワイトリストとクーリング期間を有効化する。
10.2 オンチェーン追跡と被害届
現地警察に被害届を提出すると同時に、バイナンスのリスクコントロールチャネル経由でチケットを提出してください。バイナンスはChainalysis Reactorなどのオンチェーン分析ツールを呼び出して資金の流れを追跡します。24時間以内に提出された案件の回収率は約19パーセント、48時間後は4パーセントまで低下します。
10.3 事後の振り返り
BiTanは被害者一人一人にログインフロー全体を最初から最後まで振り返り、当時クリックしたリンク、目にしたページのスクリーンショット、入力したフィールドをすべて記録に残すことを推奨します。振り返りの目的は脆弱性を見つけるだけでなく、自分自身の検証チェックリストを形成することにあります。多くの被害者は事後に、実はどこかのステップで異常に気づいていたことに気づきます。例えばページのフォントがわずかに異なる、ボタンの位置が少しずれている、コンプライアンスポップアップが欠けているなど、しかし時間に追われていたり他のことに注意が逸れていたために見過ごしてしまったのです。これらの細部を自分の検証チェックリストに書き込めば、次回は瞬時に識別できます。どのステップで検証が抜け落ちたのかを特定してください。統計データによれば、被害者の約62パーセントは検索エンジンのスポンサー枠のクリック由来、32パーセントはソーシャルメディアの短縮URL由来、残りの6パーセント未満がその他のチャネル由来です。常に主ドメインを手動入力し、4つの要素をクロス検証する習慣に改めれば、90パーセント以上の問題を解決できます。
2026-06-21 公開、次回見直し予定 2026-09-21