多くの人は「暗号資産を買う」ためにBinanceに登録しており、「セキュリティ」を目的とする人はほとんどいません。しかし、ベテランユーザーが実際に痛い目を見るのは、常に相場ではなくアカウントです。アカウントセキュリティの基礎を固めるのに必要な時間はわずか30分です。まず Binance公式サイト から登録を完了し、次に Binance公式アプリ をダウンロードして、本記事の順序に従ってフィッシング対策コード、2FA、ホワイトリストを設定してください。iPhoneユーザーでまだアプリをインストールしていない場合は、サードパーティプラットフォームからダウンロードするのではなく、まず iOSインストール手順 を確認し、Apple IDを切り替える手順を見てください。
1. まず「どこで最も盗まれやすいか」を認識する
取引所の盗難事件で最も一般的な5つの経路は以下の順序です:
- フィッシングメールのリンクをクリック——メールの件名や送信者が非常にリアルで、クリックすると偽のBinanceログインページに遷移します。
- フィッシングアプリ——非公式版をインストールしたことで、ログインパスワードが傍受され、2FA認証コードが中間者によって転送されます。
- デバイスの紛失 / 古いデバイスからの未ログアウト——スマホを替えた際にアカウントからログアウトせず、古いデバイスが家族や友人、または中古市場の購入者の手に渡ります。
- SIMスワップ——攻撃者がソーシャルエンジニアリングを通じて通信キャリアに電話番号を自分のSIMカードに移行させ、SMSの2FAが無意味になります。
- 公共Wi-Fiでのパケットキャプチャ——カフェやホテルでログインする際に偽のWi-Fiスポットに接続し、トラフィックが中間者によって復号化されます。
これら5つの経路の共通点は、すべて1回の設定でリスクを大幅に排除できることです。本記事の後半で説明する5つの事項は、それぞれの経路に対応しています。
2. 1つ目のこと:メールアドレスをメインアカウントとして保護する
Binanceアカウントの本当の「メインアカウント」はあなたの登録メールアドレスです。攻撃者がメールアドレスのコントロール権を得ると、「パスワードをお忘れですか」を通じてBinanceアカウントのパスワードをリセットできてしまいます。たとえ2FAを有効にしていても、「アカウント復旧」の申請を通じて迂回することが可能です。したがって、メールアドレスのセキュリティレベルは少なくともBinanceアカウントと同等である必要があります。以下のことをお勧めします:
- Binance専用に独立したメールアドレスを登録し、SNS/ショッピング/仕事用メールと混用しない
- このメールアドレス自体も2FAを有効にする(GmailはGoogle Authenticator、OutlookはMicrosoft Authenticatorのバインドを推奨)
- メールアドレスのパスワードは少なくとも16文字のランダムな文字列にし、パスワードマネージャーで生成する
- 「名前+誕生日」や「電話番号+アルファベット」のような推測されやすい組み合わせを使用しない
3. 2つ目のこと:フィッシング対策コードを設定する
フィッシング対策コード(Anti-Phishing Code)はBinanceが2019年に導入した機能です。あなたが6〜8文字のカスタム文字列を設定すると、それ以降Binanceから送信されるすべての公式メールの件名にその文字列が付与されます。たとえば「SBYT-42」と設定した場合、正常なメールの件名は「[SBYT-42] 出金確認通知」となりますが、フィッシングメールにはこの文字列が絶対に現れません。
操作手順:Binance公式サイト にログイン → アカウント → セキュリティ → フィッシング対策コード。設定後すぐに自分で出金申請や入金通知を送信し、メールに本当にこのコードが付いているか確認してください。フィッシング対策コードの有効性は、事後に「メールを見る前にまずコードを見る」という習慣を維持できるかに完全に依存しており、設定したら永遠に安全というわけではありません。
4. 3つ目のこと:2FAをGoogle Authenticatorに変更する
BinanceのデフォルトではSMSによる2FAが有効になっていますが、これは最も弱い形式です。SIMスワップ攻撃はすでに多くの事例が発生しています。攻撃者は通信キャリアのカスタマーサポートに対してソーシャルエンジニアリングを行い、スマホを紛失したので再発行が必要だと主張し、成功するとすべてのSMSが彼の新しいSIMカードに届くようになります。SIMカードの再発行が完了してからアカウントが空になるまで、通常30分以内です。
対策:Google Authenticator(TOTP)に変更する。 これは電話番号に依存せず、ネットワークも不要で、認証コードは30秒ごとに更新されるため、たとえ攻撃者があなたの電話番号を掌握していても役に立ちません。バインド手順:
- App Store / Play Storeで「Google Authenticator」をダウンロードし、開発者が
Google LLCであることを確認する - Binanceにログイン → セキュリティセンター → Google認証システム → 有効にする
- 画面上のQRコードをスキャンする前に、まず手書きで16桁のキーを紙に書き写す——これは機種変更や再インストールの際の唯一の復元手段です
- スキャン後、アプリに表示される6桁の動的コードを入力してバインドを完了する
- バインド後、Binanceはログイン、出金、セキュリティ設定の変更の3つのアクションすべてで2FAを使用するよう求めてきます
重要な注意: Google Authenticatorはデフォルトでクラウド同期されません。つまり、スマホを紛失したりシステムを再インストールしたりした場合、キーを書き写していなければ永遠にアクセスできなくなることを意味します。キーを書き写すこの手順は怠ってはいけません。
5. 4つ目のこと:出金ホワイトリストを有効にする
ホワイトリストの役割は:事前に登録したアドレスへのみ資金の出金を許可することです。有効にすると、たとえアカウントのパスワードと2FAの両方が突破されても、攻撃者は自分のアドレスに資金を送金することができません。
設定パス:アカウント → セキュリティ → 出金ホワイトリスト → 有効にする。その後、普段使用しているコールドウォレットのアドレスや他の取引所の入金アドレスを一つずつ追加します。新しいアドレスを初めて追加した後は、システムが強制的に24時間のクーリングオフ期間を設けてから使用可能になります。この仕組み自体が防犯対策です。
多くのベテランユーザーは「24時間のクーリングオフ期間」を見て面倒に感じ、ホワイトリストを有効にしていませんが、データ上では、ホワイトリストを有効にしているアカウントは、リスト型アカウントハッキングやソーシャルエンジニアリング攻撃に遭っても、資金を失う確率が90%以上低下します。面倒と引き換えの安心は、十分な価値があります。
6. 5つ目のこと:履歴上のログインデバイスを整理する
アカウント → セキュリティ → デバイス管理に入ると、一連のログイン記録が表示されます。典型的な整理の考え方は以下の通りです:
- すでに替えたスマホ、使ったことのある友人のPC、テストしたWebログインなどをただちに削除する
- 日常的に使っているメインのスマホと常用PCを保持する
- 保持している各記録について、ログイン時間、IPの所在地、デバイスフィンガープリントがすべて妥当であるか照合する
- 「新しいデバイスからのログインのメール通知」を有効にし、今後の新規デバイスログインがすべてリアルタイムで通知されるようにする
このステップは一見簡単ですが非常に重要です。ほとんどの盗難事例を振り返ると、攻撃者はすでに「アクティブなセッション」に存在しており、当事者が整理するのを忘れていた古いデバイスを使用していることがわかります。
7. これら5つのことを終えた後
これら5つのことを完了すると、あなたのアカウントはすでに一般的なサイバー犯罪者が攻撃を諦めるセキュリティレベルに達しています。その後は、毎月10分の「セキュリティ巡回」の習慣を保つことをお勧めします:
- フィッシング対策コードがまだ存在するか確認する(Binanceはリスク管理のために時々リセットすることがあります)
- デバイス管理に見知らぬセッションがないかチェックする
- APIキーの権限を一度更新する(API取引を利用している場合)
- 過去30日間のメールを見返し、すべてのBinanceからのメールにフィッシング対策コードが付いているか確認する
よくある質問
Q:フィッシング対策コードを設定した場合、コードのないメールを受信したら必ずフィッシングですか? A:大多数の場合はそうです。しかし1つ例外があります。登録時に送信されるメールアドレス認証メールは、その時点ではまだアカウントが存在しないためコードが付いていません。この1つのケースを除き、フィッシング対策コードのないBinance公式メールはすべてフィッシングとして処理すべきです。
Q:Google AuthenticatorとAuthyのどちらがよりおすすめですか? A:どちらでも構いませんが、違いはクラウド同期にあります。Authyは複数デバイスの同期をサポートしており、頻繁にスマホを替えるユーザーに適していますが、クラウド同期自体が新たな攻撃対象領域(アタックサーフェス)となります。Google Authenticatorはデフォルトのローカルストレージでより安全ですが、機種変更が面倒です。より高いセキュリティレベルを求めるユーザーには、Google Authenticator + キーのオフラインバックアップをお勧めします。
Q:ホワイトリストはすでに追加されたアドレスに対して無効になりますか? A:なりません。すでに追加されたアドレスは、自ら削除しない限り永久に有効です。新しく追加されたアドレスのみが24時間のクーリングオフ期間の制約を受けます。
Q:これら5つのことを完了した後に心配すべきことは何ですか? A:最大の残存リスクは、自分自身でパスワードや認証コードを渡してしまうことです。これには、フィッシングリンクをクリックすること、偽のカスタマーサポートからの電話に出ること、疑わしいサイトで「アカウント認証」を行うことが含まれます。技術面での保護はすでに十分であり、その後はフィッシング対策の意識を訓練することになります。