フィッシングサイトは、暗号資産ユーザーが直面する最大のオンライン脅威の一つです。これらの偽Binanceサイトは公式サイトとほぼ同一の外観を持ち、アカウントパスワードと認証コードを入力させることを目的としています。フィッシングサイトでこれらの情報を入力してしまうと、攻撃者は即座に本物のアカウントにログインして資産を転送することができます。中国本土のユーザーにとっては、Binanceへのアクセスに特定の方法が必要なため、検索や共有されたリンクでフィッシングサイトに遭遇するリスクが高まります。本記事では、Binanceのフィッシングサイトを素早く正確に見分けるための5つの実践的な方法を紹介します。

なぜフィッシングサイトは危険なのか

フィッシングサイトの仕組み

フィッシングサイトの動作方法は通常以下の通りです。

  1. 攻撃者がBinance公式サイトと外観が完全に同一の偽サイトを作成します。
  2. 検索エンジン広告、ソーシャルメディア、メールなどの経路で偽サイトのリンクを拡散します。
  3. ユーザーが本物のサイトと思い込み、メールアドレス、電話番号、パスワードを入力します。
  4. 偽サイトがユーザーの入力情報をリアルタイムで攻撃者に送信します。
  5. 攻撃者はその情報を使い、すぐに本物のBinanceサイトにログインします。
  6. ユーザーが偽サイトで2FA認証コードも入力した場合、攻撃者はそれも取得して使用します。
  7. 攻撃者はログイン後、直ちにセキュリティ設定を変更するか資産を転送します。

このプロセスはわずか数秒で完了することがあり、ユーザーは全く気づかないうちに被害を受けてしまいます。

中国本土ユーザーが直面する特殊なリスク

中国本土のユーザーは追加のフィッシングリスクに直面しています。

  • Binance公式サイトに直接アクセスできないため特定の方法が必要であり、偽サイトに遭遇する機会が増えます
  • 検索エンジンの広告にフィッシングサイトが混入している可能性があります
  • SNSグループで拡散されるリンクの真偽を判断しにくい場合があります
  • 一部のユーザーはドメイン名の識別能力が不足しています

方法1:ドメイン名を注意深く確認する

これは最も基本的かつ最も重要な識別方法です。

Binanceの公式ドメイン名

Binanceの主な公式ドメイン名は:binance.com

また、Binanceは特定のサービス向けにいくつかの公式ドメイン名を使用しています。Binanceの公式チャンネルで確認することができます。

よく使われるフィッシングドメインの手口

攻撃者は公式ドメイン名と非常によく似たドメイン名を使用します。

文字の置換

  • blnance.com(小文字のlでiを置き換え)
  • b1nance.com(数字の1でiを置き換え)
  • binnance.com(nが一つ多い)
  • binanc3.com(数字の3でeを置き換え)
  • binancee.com(eが一つ多い)

前後にフレーズを追加

  • binance-login.com
  • binance-verify.com
  • secure-binance.com
  • binance.com.fake-domain.com(サブドメインによる欺き)

異なるトップレベルドメイン

  • binance.org
  • binance.net
  • binance.io
  • binance.cc

Punycode攻撃: ラテン文字と外観が同一のUnicode文字を使用:

  • bіnance.com(キリル文字のіでラテン文字のiを置き換え)

ドメイン名を正しく確認する方法

  1. アドレスバーを確認する:ブラウザのアドレスバーで完全なURLを一文字ずつ注意深く確認します。
  2. サブドメインに注意する:binance.com.attacker.comはBinanceのサイトではありません。本物のドメインは最後の2つの部分(attacker.com)です。
  3. ブックマークを使用する:確認済みのBinance URLをブラウザのブックマークに保存し、毎回ブックマーク経由でアクセスします。
  4. 手動で入力する:ブックマークが使用できない場合は、検索やリンクからではなく、アドレスバーに手動でURLを入力します。

Binance専用リンクから登録して、正しいアクセスURLをブックマークに保存しましょう。

方法2:SSL証明書を確認する

SSL証明書とは

SSL証明書はサイトの身元を示すデジタル「身分証明書」であり、あなたとサイト間の通信が暗号化されていることを保証します。正規のサイトはSSL証明書を使用しており、ブラウザのアドレスバーに錠前アイコンと「https://」のプレフィックスが表示されます。

SSL証明書の確認方法

  1. 錠前アイコンを確認する:アドレスバーの左側に錠前アイコンが表示されているはずです。
  2. 錠前アイコンをクリックする:クリックすると証明書の詳細を確認できます。
  3. 証明書の発行者を確認する:正規のサイトのSSL証明書は著名なCA機関が発行しています。
  4. 証明書の所有者を確認する:証明書が「Binance」またはその関連事業体に発行されていることを確認します。

SSL証明書の限界

SSL証明書のみを判断基準にすることはできません。

  • 攻撃者もフィッシングサイト用のSSL証明書を取得できます(Let's Encryptの無料証明書など)
  • 錠前アイコンがあることは通信が暗号化されていることを示すだけで、サイト自体が信頼できることを示すわけではありません
  • したがって、SSL証明書の確認はドメイン名の確認と組み合わせて行う必要があります

方法3:Binanceの公式確認ツールを使用する

Binance Verify

BinanceはBinance Verifyという公式の確認ツールを提供しており、様々なチャンネルがBinance公式に属するかどうかを確認できます。

使用方法

  1. Binance公式サイトにアクセスし、「Binance Verify」ツールを探します。
  2. 確認したい内容を入力します。
    • サイトのドメイン名
    • メールアドレス
    • 電話番号
    • Telegramユーザー名
    • Twitterアカウント
    • WeChatID
  3. ツールがそのチャンネルがBinance公式に属するかどうかを表示します。

注意:Binance Verifyを使用する際は、本物のBinance公式サイト上でこのツールを使用していることを確認してください(ドメイン名の確認に注意)。

Binanceアプリ内での確認

Binanceアプリ経由で各種機能や情報にアクセスすることが最も安全な方法です。アプリ内のリンクや機能はすべて確認済みだからです。

方法4:サイトの動作を観察する

正規のサイトがしないこと

以下の動作はフィッシングサイトの典型的な特徴です。

  1. 緊急のポップアップ:サイトに入った途端に「アカウントにセキュリティリスクがあります。今すぐ確認してください」というウィンドウが表示されます。
  2. ニーモニックフレーズや秘密鍵の入力を求める:ウォレットのニーモニックフレーズや秘密鍵の入力を求める「Binance」のページはすべて偽物です。
  3. 異常な認証コードの要求:認証コードを必要としないはずの操作で認証コードの入力を求めます。
  4. ページのエラーや異常:一部のリンクがクリックできない、ページのレイアウトが正常でない、一部の機能が欠けているなど。
  5. ダウンロードの促し:ファイルのダウンロードプロンプトが自動的に表示されます。

サイトの細部の違い

フィッシングサイトは外観を真似ていますが、通常以下の点で公式サイトと異なります。

  1. フッター情報:法的情報、登録番号などの情報が欠けていたり、正しくなかったりすることがあります。
  2. 多言語サポート:サポートされている言語が限られている可能性があります。
  3. インタラクティブ機能:ヘルプセンター、FAQなどのサブページに正常にアクセスできない場合があります。
  4. 読み込み速度:フィッシングサイトの読み込み速度が公式サイトと異なる場合があります。

フィッシングのリスクを避けるためにBinanceアプリを安全にダウンロードしましょう:AndroidAPKダウンロード

方法5:アンチフィッシングコードとブラウザツールの活用

アンチフィッシングコードの活用

Binanceでアンチフィッシングコードを設定済みの場合、それを使って間接的にサイトを確認できます。

  1. 疑わしいサイトで「ログイン」した後(すでに被害を受けた場合)、その後受信したBinanceのメールにアンチフィッシングコードが含まれているかどうかを確認します。
  2. メールにアンチフィッシングコードが含まれていない場合は、そのメールも偽物で、フィッシングサイトと連携して使用されている可能性があります。

しかし、最善の方法は疑わしいサイトに一切の情報を入力しないことです。

ブラウザセキュリティツール

ブラウザ拡張機能を活用してフィッシング保護を強化しましょう。

推奨されるセキュリティ拡張機能

  1. Netcraft Extension:フィッシングサイトをリアルタイムで検出します。
  2. Google Safe Browsing:Chromeに内蔵されているセーフブラウジング機能(有効になっていることを確認してください)。
  3. uBlock Origin:広告と悪意のあるサイトのブロック。

ブラウザの内蔵保護

  • Chrome、Firefox、Edgeなどの最新ブラウザにはフィッシングサイトの警告機能が内蔵されています
  • ブラウザの「セーフブラウジング」または「フィッシングとマルウェアの保護」機能が有効になっていることを確認してください
  • ブラウザを常に最新バージョンに更新してください

検索エンジンの使用テクニック

  1. 広告をクリックしない:検索結果の広告リンクはフィッシングサイトである可能性があります。オーガニック検索結果のみをクリックしてください。
  2. URLを注意深く確認する:検索結果をクリックする前に、表示されているURLが正しいかどうかを確認してください。
  3. ブックマークを優先して使用する:Binanceの公式URLをブックマークに保存し、毎回検索エンジン経由でアクセスすることを避けましょう。

実践演習:どれがフィッシングサイトかを判断してください

以下の例で識別能力を練習しましょう。

例1:https://www.binance.com/zh-CN/login

  • 判断:正しいBinanceのドメイン名、HTTPSを使用、パスも合理的。本物のサイトの可能性があります。

例2:https://www.blnance.com/zh-CN/login

  • 判断:ドメイン名の「i」が「l」に置き換えられています。フィッシングサイトです。

例3:https://binance.com.login-verify.net/secure

  • 判断:本物のドメイン名は「login-verify.net」であり、「binance.com」ではありません。フィッシングサイトです。

例4:https://www.binance.org/login

  • 判断:「.com」ではなく「.org」トップレベルドメインを使用しています。Binance Verifyで確認が必要です。高度に疑わしいです。

フィッシングサイトにアクセスしてしまった場合の対処法

フィッシングサイトで情報を入力してしまった場合:

直ちに行動する

  1. Binanceのパスワードを変更する:本物のBinanceサイトまたはアプリに直ちにログインし、パスワードを変更します。
  2. セキュリティ設定を確認する:2FAの設定、出金ホワイトリストなどが改ざんされていないかどうかを確認します。
  3. アカウントを凍結する:アカウントが侵害されたと疑われる場合は、「アカウントを無効にする」機能を使用します。
  4. 取引履歴を確認する:不正な取引や出金操作がないかどうかを確認します。
  5. メールのパスワードを変更する:フィッシングサイトでメールアドレスとパスワードを入力し、かつそのメールで同じパスワードを使用している場合は、直ちに変更してください。
  6. カスタマーサポートに連絡する:公式チャンネル経由でBinanceのカスタマーサポートに状況を報告します。

その後の措置

  1. 関連するすべてのアカウントのパスワードを全面的に更新する
  2. コンピューターや携帯電話にマルウェアがないか確認する
  3. ブラウザのキャッシュとCookieを削除する
  4. フィッシングサイトのURLをBinanceに報告する

長期的な保護習慣を確立する

日常のセキュリティ習慣

  1. ブックマークでアクセスする:常にブラウザのブックマークやBinanceアプリ経由でアクセスし、検索エンジンや他人が共有したリンクは使用しません。
  2. 確認してから操作する:Binanceサイトにアクセスするたびに、3秒かけてドメイン名が正しいかどうかを確認します。
  3. メールのリンクをクリックしない:Binanceからのメールを受信した後、メール内のリンクをクリックせず、手動でアプリまたはサイトを開きます。
  4. 疑念を持つ:「緊急操作」を求めるあらゆる情報に対して高度な疑念を持ちます。
  5. セキュリティ知識を更新する:Binanceの公式セキュリティアナウンスを注視し、最新のフィッシング手口を把握します。

他の人を助ける

フィッシングサイトを発見した場合:

  1. そのサイトには何も情報を入力しないでください
  2. サイトのURLを記録してください
  3. Binanceの公式に報告してください
  4. 信頼できるコミュニティで警告情報を共有し、他のユーザーが被害を受けるのを防ぎましょう

よくある質問

Q1:Binanceには複数の公式ドメイン名がありますか?

A:はい、Binanceは異なるサービスや地域向けに複数のドメイン名を使用している場合があります。最も信頼できる確認方法は、BinanceのBinance Verifyツールを使用するか、Binanceアプリから直接操作することです。

Q2:スマホでもフィッシングサイトに遭遇しますか?

A:はい。スマホのブラウザのアドレスバーは通常より小さく、完全なURLを確認しにくく、非表示になっている場合さえあります。したがって、スマホではさらに注意が必要です。スマホのブラウザよりもBinanceアプリの使用を優先することをお勧めします。

Q3:ネットワークツールを使用すると、フィッシングサイトに遭遇しやすくなりますか?

A:必ずしもそうではありませんが、ネットワークツール使用時にはDNS解決などの環節でハイジャックされる可能性があります。信頼できるDNSサービス(1.1.1.1や8.8.8.8など)を使用し、ネットワークツールでDNSリーク防止機能を有効にすることをお勧めします。

Q4:AIテクノロジーによりフィッシングサイトを識別しにくくなりますか?

A:確かにそうです。AIは攻撃者がより本物らしいフィッシングサイトやメールを作成するのに役立ちます。これは、ブックマーク経由でのアクセスやドメイン名の確認といったセキュリティ習慣の重要性をさらに強調しています。

まとめ

Binanceのフィッシングサイトを識別するための5つの重要な方法:ドメイン名の確認、SSL証明書の検証、公式確認ツールの使用、サイトの動作の観察、セキュリティツールの活用。これらの方法を習慣にして、Binanceにアクセスするたびに素早い確認を行うことで、フィッシング攻撃の被害者になることを効果的に防ぐことができます。最も安全な方法を覚えておいてください:ブックマークやアプリから直接アクセスし、検索結果や他人が共有したリンクからは決してBinanceにアクセスしないことです。

Binanceに登録 | Binanceアプリをダウンロード