Binance Android APKの真偽を確認するには？ダウンロード後はログイン前に署名を確認

AndroidユーザーがBinance APKをダウンロードする際に最も恐れるのは、フィッシング版をインストールしてしまうことです。解決策は実は非常に簡単です：まず署名検証を行い、それからアカウントにログインすることです。Binance公式サイト から公式APKを取得し、Binance公式アプリ リンク経由でダウンロードページに直接アクセスできます。iPhoneユーザーはAPKを気にする必要はなく、直接 iOSインストール手順 に従ってインストールしてください。本記事では、あるAPKが本当にBinanceからのものかどうかを3つの方法で相互検証します。

一、公式APKの3つの固定された特徴

バージョンがどのように更新されても、Binanceの公式APKは以下の3つの特徴を満たしています：

1. パッケージ名（Package Name）：com.binance.dev
2. 署名者（Signer）：CN=Binance Holdings Ltd, O=Binance, ...
3. V2/V3署名証明書のSHA-256フィンガープリント：64桁の16進数文字列であり、Binanceはヘルプセンターで現在有効なフィンガープリントを公開しています。

このうち1つでも一致しなければ、公式APKではありません。以下では、コマンドライン、スマートフォンアプリ、およびハッシュ比較を使用してこれら3項目を検証する方法をそれぞれ説明します。

二、方法一：パソコンで apksigner を使って検証する（最も権威がある）

apksignerはAndroid SDKに標準で付属している公式の署名検証ツールであり、Java環境を持つユーザーに適しています。

インストール手順

1. Android SDK Command-line Toolsをダウンロードします：https://developer.android.com/studio#command-tools
2. 解凍後、cmdline-tools/latest/bin をPATHに追加します。
3. コマンドラインで sdkmanager "build-tools;34.0.0" を実行し、build-toolsをインストールします。
4. 最終的に apksigner が build-tools/34.0.0/ ディレクトリ内に表示されます。

検証コマンド

apksigner verify -v --print-certs Binance.apk

正常な出力例：

Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Signer #1 certificate DN: CN=Binance Holdings Ltd, O=Binance, L=Malta, C=MT
Signer #1 certificate SHA-256 digest: a1b2c3...（16進数の文字列）

確認すべき3つのポイント：

• Verified using v2 scheme: true と Verified using v3 scheme: true が両方とも true である必要があります。
• certificate DN には Binance Holdings Ltd が含まれている必要があります。
• SHA-256フィンガープリントは、Binanceの公式発表の値と一致する必要があります。

いずれか1つでも一致しない項目がある場合は、直ちにAPKを削除し、インストールしないでください。

三、方法二：スマートフォンで署名確認アプリを使う（最も便利）

すでに疑わしいAPKをインストールしてしまい、パソコンを立ち上げるのが面倒な場合は、スマートフォンでも署名を確認できます。おすすめの2つのアプリ：

• App Signature Checker（Google Playの開発者が Infinite Loop のバージョン）
• Apk Info（オープンソース、F-Droidでインストール可能）

Apk Infoを例にします：

1. アプリを開き、「インストール済みアプリの読み取り」権限を付与します。
2. Binanceを検索し、タップして詳細に入ります。
3. 一番下までスクロールして「Signatures」セクションを確認します。
4. 証明書の Subject フィールドに Binance Holdings Ltd が表示されているはずです。
5. 証明書の SHA256 Fingerprint が公式発表の値と一致しているはずです。

スマートフォンでの検証のメリットは速い（30秒で完了）ことですが、デメリットはアプリ自体の信頼性に依存することです——これらの署名確認ツールは必ずGoogle PlayまたはF-Droidからダウンロードし、出所不明なチャネルからインストールしないでください。

四、方法三：SHA-256ハッシュ比較（最も簡単）

これは「ファイルが改ざんされていないか」を検証する最も基本的な方法であり、Androidの知識がなくても実行できます。

APKのSHA-256を取得する

PowerShell（Windows）：

Get-FileHash Binance.apk -Algorithm SHA256

ターミナル（macOS/Linux）：

shasum -a 256 Binance.apk

出力は64桁の16進数文字列です。

公式発表のハッシュを取得する

binance.comにログイン → ヘルプセンター → 「APK hash」または「APK 校验」で検索します。公式の発表ページには、現在のバージョンのAPKのSHA-256値がリストされています。あなたのハッシュが公式の値と一致する場合、ファイルが改ざんされておらず、公式がリリースしたオリジナルのAPKであることを示しています。

注意：ハッシュ比較は「ファイルが変更されていないこと」を証明するだけで、「これが公式ファイルであること」を証明することはできません——ハッシュはバージョンによって変化するからです。理想的なアプローチは、ハッシュ比較＋署名検証の二重保険です。

五、署名検証に失敗した場合のいくつかのケース

ケース一：署名者が Binance Holdings Ltd ではない

これは最も深刻なケースです——APKが第三者によって再署名されています。元のロジックがBinanceのものであっても、攻撃者が再パッケージ化のプロセスで悪意のあるコード（クリップボードにペーストされたアドレスのハイジャックや、2FA認証コードの転送など）を挿入している可能性があります。直ちに削除し、ダウンロード元を変更してください。

ケース二：v1署名は通過するがv2/v3が通過しない

この場合、APKは Janus脆弱性攻撃（CVE-2017-13156）を受けている可能性があり、v1署名を維持しながら追加のDEXファイルが挿入されています。これもフィッシングの手法の一つであり、同様に直ちに削除する必要があります。

ケース三：SHA-256が一致しないが署名は有効である

最も可能性の高い説明は、ダウンロードしたのが古いバージョンであり、公式のハッシュがすでに更新されているということです。Binance公式サイトに戻って最新版のAPKをダウンロードし、再度比較してください。もし最新版のハッシュでも一致しない場合は、ダウンロードプロセスが中間者によって改ざんされた可能性があります。ネットワークやブラウザを変更して再ダウンロードしてください。

ケース四：スマートフォンが「未承認のアプリ」と警告する

Android 10以降の Play Protect は、新しくインストールされるすべてのAPKに対してクラウドベースのキャンを実行します。公式サイトからダウンロードした全く新しいバージョンの場合、Play Protect のデータベースがまだ更新されていないために誤報が出ることがたまにあります。この場合、以下のように対処できます：

• Play Protect の更新によって自動解除されるまで、24～48時間待ちます。
• または、Play Protect 内でそのアプリを例外としてマークします。
• 注意：誤報だからといって Play Protect を無視しないでください——同時に署名にも問題があることが判明した場合、それは本物のフィッシングです。

六、APK検証後の「初回起動チェック」

署名が通ったからといって万事解決というわけではなく、アプリ初回起動時の挙動も確認する必要があります：

1. 権限リクエスト：公式アプリは、起動画面でSMS、連絡先、写真へのアクセス権限を要求しません。起動直後にこれらの権限を要求するバージョンはフィッシングです。
2. 起動画面の広告：公式アプリにはサードパーティの広告は一切ありません。広告があるものは偽装版です。
3. ログイン画面：ログイン時のURLは accounts.binance.com を指している必要があり、その他のいかなるドメインでもありません。
4. ネットワークリクエスト：HTTP Canaryなどのパケットキャプチャツールで初回起動時のドメインを確認すると、すべて *.binance.com や *.binancezh.co などの公式ドメインであるべきです。

これら4項目をすべてクリアして初めて、アプリが本当に安全に使用できると確認できます。

七、Androidユーザーのダウンロードチャネルの優先順位

安全性の観点から、おすすめのダウンロードチャネルは以下の通りです：

1. 公式サイトから直接ダウンロード（binance.com/download） → 最も推奨
2. Binanceのソーシャルアカウント（公式Twitter）からプッシュされるダウンロードリンク → 予備としてのみ
3. Google Play ストア（お住まいの国/地域でサポートされている場合） → 信頼できるが、中国本土では利用不可
4. F-Droid、APKMirrorなどのサードパーティAPKリポジトリ → 非推奨。これらのサイトには検証機能があるものの、公式の配布元ではありません。

QQグループ、WeChatグループ、Telegramグループ内で配布されるAPKは、送信者がどんなに自信満々に「これが公式バージョンだ」と言っても、すべてフィッシングと見なすべきです。

よくある質問

Q：APKをインストールした後に、もう一度検証することはできますか？ A：可能です。pm path com.binance.dev でインストール済みAPKのパスを見つけ、そのAPKに対して apksigner を実行すれば、実際にスマートフォンにインストールされている署名を確認できます。これは「インストール後に置き換えられる」のを防ぐ最後の防衛線です。

Q：しばらくインストールして使っているアプリも再検証する必要がありますか？ A：メジャーバージョンアップごとに1回行うことをお勧めします。公式のアップデート時にAPKファイルが一時ディレクトリにダウンロードされる際、（可能性は極めて低いですが）フックされるリスクが存在するためです。

Q：Androidの Xiaomi / Huawei のカスタマイズシステムは署名検証に影響しますか？ A：影響しません。署名検証はAPKファイル自体の属性であり、システムとは無関係です。システム側の「アプリストアホワイトリスト」は別の検証レイヤーであり、両者は互いに影響しません。

Q：パソコンもなく署名確認アプリもインストールしていません。他に何ができますか？ A：少なくともSHA-256ハッシュの比較は行ってください。多くのファイルマネージャー（Solid Explorerなど）にはハッシュ計算機能が内蔵されており、公式発表と比較するのが最も低コストな検証方法です。