iOSでアプリをインストールする際、「信頼されていないエンタープライズ開発者」という警告が表示され、「設定 → 一般 → VPNとデバイス管理」で信頼するように求められた場合、99%がフィッシングです。Binance公式がエンタープライズ証明書を通じてアプリを配布することは決してありません。この記事ではその原理と緊急時の対応を説明します。ダウンロード入口:Binance公式サイト、モバイル端末 Binance公式アプリ、iOSでアプリ未インストールの方は iOSインストール手順 をご覧ください。
1. iOSアプリの3つの配布方式
| 方式 | 公式か否か | 典型的なケース |
|---|---|---|
| App Store | はい | Binance公式による配布 |
| TestFlight | 限定的に公式 | 公式のベータ版(まれ) |
| エンタープライズ証明書 / MDMプロファイル | 非公式 | フィッシング詐欺 |
Binanceが一般ユーザーに対して第3の方式でアプリを配布したことは過去に一度もありません。「Binanceエンタープライズ版をインストールする」という案内はすべて詐欺です。
2. エンタープライズ証明書による配布はなぜ危険なのか
エンタープライズ証明書は本来、企業内部でアプリを配布し、App Storeの審査を回避するためのものです。もしエンタープライズプロファイルを含む「Binance」をインストールしてしまった場合:
- そのアプリはAppleの審査を受けておらず、任意の権限を要求できます
- プロファイル自体がMDM(モバイルデバイス管理)である可能性があり、攻撃者がデバイスをリモートで乗っ取ることができます
- 攻撃者は連絡先、位置情報、クリップボード、プッシュ通知(認証コードを含む)を読み取ることができます
- アプリを削除しても、プロファイルは引き続き有効である可能性があります
- リモートでデバイスのデータを消去することができます
3. 誤ってインストールした場合の緊急対応手順
もし疑わしい「Binance」をインストールし、プロファイルを信頼してしまった場合は:
ステップ1:ネットワークを切断する
すぐに機内モードをオンにし、すべてのネットワークを切断してください。
ステップ2:プロファイルを削除する
設定 → 一般 → VPNとデバイス管理 → 見知らぬプロファイルをすべて見つける → 削除。一つ残らず完全に削除してください。
ステップ3:アプリを削除する
ホーム画面に戻り、アイコンを長押し → アプリを削除。
ステップ4:Apple IDのセキュリティを確認する
別のデバイスで appleid.apple.com にアクセスし:
- パスワードを変更する
- 「自分のデバイス」リストを確認し、疑わしいデバイスを削除する
- ログイン履歴を確認する
ステップ5:Binanceアカウントを確認する
もし偽アプリ内でBinanceのアカウントパスワードや2FAを入力してしまった場合:
- 安全なデバイスから binance.com にログインする
- パスワードを変更する
- 2FAをリセットする(古い連携を削除し、再連携する)
- すべてのAPIキーを削除する
- 出金アドレスのホワイトリストをクリアする
- すべてのデバイスを強制的にログアウトさせる
ステップ6:初期化して再インストールする
最も確実な方法は、デバイスを初期化してからiCloudバックアップから復元することです(バックアップは攻撃を受ける前の時点のものに限る)。バックアップが汚染されているか不安な場合は、完全にリセットして新規として設定してください。
4. 次の被害を避けるには
1. 常にApp StoreからBinanceをインストールする
Apple IDの地域を切り替えた後、App Storeで「Binance」(開発者が Binance Holdings Limited のもの)と検索して出るのが本物です。それ以外のソースからインストールしたものは一切信用できません。
2. 「プロファイルインストール」への誘導をブロックする
設定 → 一般 → VPNとデバイス管理。もしリストが空であれば、それは良いことです。見知らぬ項目があれば、まずは削除してから原因を調べてください。
3. 未知のSMSリンクをクリックしない
多くのエンタープライズ証明書への誘導は、「Binance公式通知:新バージョンをダウンロードしてください」というSMSを通じて行われます。このようなSMSのリンクは絶対にクリックしないでください。
4. 家族への啓発
家族、特に高齢者は「Binance公式サポートの案内でインストール」という手口に騙されてエンタープライズ版をインストールしやすいです。事前に「プロファイル」はインストールしないよう伝えておきましょう。
5. TestFlight vs エンタープライズ証明書の違い
| 項目 | TestFlight | エンタープライズ証明書 |
|---|---|---|
| Appleの審査 | あり(簡易) | なし |
| ユーザーへの見え方 | TestFlightアプリを通じて | プロファイル + ホーム画面アイコン |
| 危険度 | 中 | 極めて高い |
| 公式かどうかの判断 | 開発者名 + 公式アナウンス | すべて非公式 |
TestFlightは少なくともAppleの初期審査を経ていますが、エンタープライズ証明書は完全に無審査です。Binanceのベータ版はTestFlight経由であり、エンタープライズ証明書経由ではありません。もし「Binanceエンタープライズ版をダウンロード」と言う人がいれば、それは確実に偽物です。
よくある質問
Q1:プロファイルを信頼した後に取り消しても意味はありますか? 「信頼の取り消し」を行っても、すでに取得されたデバイスのデータが戻るわけではありません。パスワードの変更やリセットなど、必要な対処をしてください。
Q2:Appleは悪意のあるエンタープライズ証明書を自発的に無効化しますか? はい、Appleは通報されたエンタープライズ証明書を定期的に無効化しています。しかし、発見から無効化までにタイムラグがあるため、頼りにはできません。
Q3:エンタープライズ証明書が期限切れになった後もアプリは使えますか? 使えません。しかし、攻撃者は再度署名して新しいリンクを送り、「再信頼」させようとします。クリックするたびに攻撃者に機会を与えることになります。
Q4:友人の「Binanceインターン」がインストールしてくれたエンタープライズ版は信用できますか? 信用できません。Binanceにはそのような内部向けの配布手段を外部に提供する仕組みはありません。たとえ本当の友人であっても、その友人自身が騙されているのです。