バイナンス公式サイトはどれ?技術レベルで真偽を確認する方法
検索エンジンで「バイナンス」を検索すると、上位には広告タグ付きの偽装サイトがよく並び、ドメインもそれらしく見えます。binance-xxx.com、binanceapp.cc、bnance.com……一般ユーザーには一目では区別が困難です。本記事では「UIを見る」「ロゴを見る」といった主観的判断ではなく、ドメイン登録情報、HTTPS証明書フィンガープリント、APK署名証明書、ファイルハッシュといった客観的に検証可能な技術ポイントから、「真偽の識別」を再現可能な操作フローとして示します。
バイナンスの本物の第一レベルドメイン
バイナンスグローバルサイトのメインドメインは binance.com で、2017年から使用されているドメインです。すべての地域サイトはこの第一レベルドメイン配下にあり、www.binance.com、accounts.binance.com、api.binance.com などとなっています。これ以外にも、バイナンスはさまざまなシーン向けに予備ドメインを登録しており、よく知られるものに binance.info、binance.vision(アカデミーサイト)、binance.charity(チャリティプロジェクト)があります。
特に強調しておきたいのは、ハイフン入りの変種ドメイン、たとえば binance-app.com、binance-login.com、binance-pro.net などはバイナンス公式の資産ではない点です。バイナンスのブランド戦略は保守的で、ハイフン付きサブサイトを使うことはありません。この種のドメインを見つけたら、基本的に偽装と直ちに判定して問題ありません。
アプリのダウンロードも同様にメインドメインを使い、本物のダウンロードパスは 公式ダウンロードページ であり、「binance-download」のような独立ドメインではありません。
WHOIS でドメイン登録情報を確認
任意のWHOIS検索ツール(例:who.is、コマンドラインの whois binance.com)を開くと、本物の binance.com は次のように表示されます:
- 登録日:2017-02-08(あるいはそれ以前の記録)
- 登録事業者:通常はMarkMonitorなど大企業向けに提供されるドメインホスティング事業者
- ドメインステータス:clientTransferProhibited、clientUpdateProhibited など複数のロック
- 登録者情報:プライバシー保護だが、Binance Holdings 関連の主体に帰属することが分かる
検索したドメインが直近1〜2年前後に登録されたばかりで、登録事業者がNameSilo/Namecheapの個人アカウントで、ロック状態もないなら、ほぼ偽物です。偽装サイトはコスト節約と柔軟な「皮の付け替え」のため、月額数千ドルのMarkMonitorのようなサービスは使いません。
HTTPS証明書フィンガープリントの照合
ブラウザのアドレスバーの鍵アイコンをクリックすると証明書詳細が確認できます。本物の binance.com が現在使用しているのは DigiCert または Amazon が発行した EV/OV レベルの証明書(近年はOVタイプへの切り替えが多い)で、主体情報の Organization には明確に Binance Holdings Limited、地理位置は Cayman Islands と書かれています。
より硬派な方法は、証明書のSHA-256フィンガープリントを照合することです。Chromeで鍵アイコン → 接続は安全です → 証明書は有効 → 詳細情報 → 拇印を順に開き、この16進数を他のデバイス、他のネットワーク環境で見たフィンガープリントと照合します。2回アクセスしたフィンガープリントが完全に一致し、いずれも同じCA発行機関に紐づいていれば、中間でMITMによる差し替えが起きていないことが確認できます。
コマンドラインで:
openssl s_client -connect binance.com:443 -servername binance.com </dev/null 2>/dev/null | openssl x509 -noout -fingerprint -sha256
出力のフィンガープリントをブラウザで見たものとクロス検証できます。
APK 署名証明書のフィンガープリント
ダウンロードしたインストールパッケージが本当にバイナンスのビルドか確認するには、署名証明書のフィンガープリントを見るのが最も確実です。バイナンス Android アプリの署名証明書は固定されており、複数バージョン間で変わりません(バイナンスが能動的に署名を切り替える場合を除き、その場合は事前告知がある)。
フィンガープリント取得コマンド:
keytool -printcert -jarfile binance.apk
Android SDK 付属の apksigner でも:
apksigner verify --print-certs binance.apk
出力に SHA-256 証明書フィンガープリント、主体 DN(Distinguished Name)、署名アルゴリズムなどが表示されます。このフィンガープリントを記録しておき、次回新バージョンをダウンロードしたときに再度取得して照合します。一致すれば新旧パッケージが同一ソース、一致しなければファイル名がどれほど似ていてもインストールしないでください。
この方法の利点は、たとえ公式サイトが一時的にハイジャックされても、ダウンロードリンクが差し替えられても、過去のバージョンのフィンガープリントを手元に持っていれば照合のベースラインになる点です。
ファイルハッシュの比較
SHA-256 ハッシュはファイルレベルのフィンガープリントで、1バイト変わっただけで完全に異なる値になります。APK ダウンロード後、まずハッシュを計算します:
Windows PowerShell:
Get-FileHash binance.apk -Algorithm SHA256
Linux/Mac:
shasum -a 256 binance.apk
ハッシュを得たら、複数のチャネルでクロスチェックできます。異なるネットワーク環境(自宅ブロードバンド、スマホ4G、海外VPS)から同じバージョンのAPKをそれぞれダウンロードし、各自でハッシュを計算します。3つが完全に一致すればダウンロード経路が汚染されていないことを意味します。差異があれば、どこかでファイルが差し替えられています。
公式APKアドレス から取得したインストールパッケージは、3回の異なるネットワークでのダウンロードで得られるハッシュが完全に同一となります。
逆コンパイルによる抜き打ちチェックの発想
より慎重なユーザーにはもう一段、逆コンパイルでの抜き打ちチェックを行うことができます。jadx や apktool でAPKを開き、以下を重点的に確認します。
AndroidManifest.xmlのpackageフィールドがcom.binance.dev(バイナンス公式パッケージ名)かどうか- アプリ内にハードコードされたAPIドメインが
api.binance.comなど公式ドメインを指しているか - 不審な外部接続ドメイン、余計なリクエスト権限、見慣れないreceiverがないか
偽装パッケージの典型的な特徴は、パッケージ名を近いが完全には一致しない文字列(例:com.binancce.app)に偽装する、あるいはAPIが自前の中継サーバーを指していることです。逆コンパイルすれば一目瞭然です。
アプリストアのメタデータも補助に使う
中国本土からはGoogle Playに直接アクセスできませんが、apps.apple.com でiOS App Storeのエントリを検索するのは完全に可能です。本物のバイナンスアプリの開発者名は Binance LTD(またはBinance Holdings傘下の実体)で、開発者ホームに並ぶ他のアプリもバイナンス系列の製品(Binance US、Trust Wallet の初期バージョンなど)です。
この開発者名と、Android側でダウンロードしたAPK署名のDNを照合します。APK署名主体が聞いたこともない会社なら、警戒に値します。
検索エンジンの入口で踏み抜かない方法
フィッシングサイトの最もよくある集客入口は検索エンジン広告とSNSの短縮URLです。回避策:
- 検索結果中の「広告/Sponsored」タグ付きの項目をクリックしない
- ブラウザのブックマークに バイナンス登録リンク と APK ダウンロードアドレスを登録し、以降はブックマークからのみ開く
- 見知らぬ人から送られてくる「バイナンス」リンクは一切クリックしない。たとえ本人がサポートだと名乗っても
- URLを検証する際は1文字ずつ照合し、rn/m、l/1、0/O などの視覚的類似文字に注意する
本物のバイナンスは電話、SMS、DMで能動的に連絡してきたり、「緊急ログインリンク」を送ってきたりしません。「すぐにリンクをクリックして認証を」と急かすメッセージは、第一印象で偽装だと判断してください。
登録推薦コードと招待
正規のバイナンスアプリをダウンロードしたことを確認したら、公式登録リンク からアカウントを作成します。登録時に推薦コード P394YSTZ を入力すると、取引手数料の永続割引を受けられます。登録後の最初の作業は 2FA を有効化し、アカウントセキュリティを最高レベルに引き上げることです。
よくある質問
Q:スマホにインストールしたバイナンスアプリの署名フィンガープリントを素早く確認するには?
A:APK Info、App Inspector などのツールをインストールし、Binance エントリを見つければ、SHA-256 署名フィンガープリントが直接確認できます。それを以前に記録したベースラインと照合するだけです。ツールを入れない場合、adb でも可能です:adb shell pm list packages -f | grep binance でAPKパスを探し、pullして keytool で検証します。
Q:偽装サイトのHTTPS証明書も緑の鍵になるのはなぜ?
A:HTTPSの緑の鍵は「このドメインとこの証明書が一致している」ことを示すだけで、「このドメインがバイナンスである」ことは示しません。Let's Encrypt は binance-fake.com のような任意のドメインに対しても無料で証明書を発行できます。ですので重要なのは証明書の Organization フィールドを見ることであり、鍵だけを見てはいけません。
Q:APK署名フィンガープリントのバイナンス公式公表のベースラインはどこで見られる?
A:バイナンス公式は署名フィンガープリントを一箇所に集中して公示はしていません。業界の慣例では、ユーザーが初回に正規版をインストールした後に自分で記録し、後続バージョンとの照合のベースラインとします。あるいはAPKMirrorの Verified マーク付きの旧バージョンなど、複数の信頼できるソースのフィンガープリントを比較して初期ベースラインを作ることも可能です。
Q:スマホに「バイナンス」を2つインストールしていて、どちらもログインできます。どう確認する?
A:それぞれのパッケージ名と署名フィンガープリントを抽出します。パッケージ名が com.binance.dev で、署名主体がBinance関連実体のものが本物、もう一方は偽装の可能性が高いです。偽装品を見つけたら直ちにアンインストールし、バイナンスアカウントのパスワード変更、2FA設定の確認、直近のログイン記録と出金記録の確認を行ってください。
Q:証明書フィンガープリントは毎年変わる?変わった場合は?
A:HTTPS 証明書は通常1年前後でローテーションされるため、フィンガープリントは変わります。これは正常です。注目すべきは、証明書の主体(Organization)と発行機関(Issuer CA)が依然として妥当かどうかです。APK署名証明書は基本的に変わりません。変わった場合は高く警戒し、公式サイトやSNSで確認してください。