Binanceアカウント安全セルフチェックリスト 12の必須設定項目
12のセキュリティ設定を確認することで、フィッシング、リスト型攻撃、APIの不正利用による攻撃の95%を防ぐことができます。本記事では、リスクレベルに基づいた推奨順序を解説します。
Binance(バイナンス)アカウントの盗難の多くは、細かな不注意から発生します。開始前に、アクセスしているサイトが Binance公式サイト であることを確認し、 Binance公式アプリ をダウンロード(iOS版は iOSインストールガイド を参照)した上で、以下の12項目を順番にセルフチェックしてください。
セルフチェックリスト(優先順位別)
| # | 項目 | リスクレベル | 所要時間(目安) |
|---|---|---|---|
| 1 | メールの独立 + 強力なパスワード | 高 | 5分 |
| 2 | Authenticator + バックアップコード | 高 | 5分 |
| 3 | Passkey またはハードウェアキー | 高 | 10分 |
| 4 | フィッシング防止コード | 高 | 1分 |
| 5 | 出金ホワイトリスト | 高 | 5分 |
| 6 | デバイス管理 | 中 | 2分 |
| 7 | API監査 | 中 | 5分 |
| 8 | サブアカウントの権限 | 中 | 5分 |
| 9 | サードパーティ連携の認可 | 中 | 3分 |
| 10 | メールのフィルタリングルール | 中 | 2分 |
| 11 | ブラウザ拡張機能の監査 | 低 | 5分 |
| 12 | OSのアップデート | 低 | 30分 |
合計約1時間です。月に一度の実施をお勧めします。
1. メールアドレス
Binanceアカウントの命綱はメールアドレスです。メールアドレスが突破されることは、アカウントの半分が突破されたも同然です。
要件:
- Binanceおよび暗号資産専用の独立したメールアドレスを使用する
- メールパスワードは16文字以上で、大文字・小文字・数字・記号を組み合わせる
- メールアドレス自体に2段階認証(2FA)を設定する
- 学校や会社のメールアドレスは使用しない(卒業や退職後にアクセスできなくなるため)
2. Google Authenticator
設定時には必ず以下のことを行ってください:
- 16桁のキーをスクリーンショットで保存する
- オフラインのメモ用紙に書き写す
- 2台のスマートフォンにそれぞれ登録しておく
これにより、スマートフォンの機種変更や紛失時の手間を防ぐことができます。
3. Passkey またはハードウェアキー
YubiKey、Titan Key、Apple Passkeyなどは、物理的またはシステムレベルの2FAであり、TOTP(時間ベースのワンタイムパスワード)よりもフィッシング詐欺に強いのが特徴です。
Binance → セキュリティ → パスキー(Passkey) → 追加。一度設定すれば長期的な安心に繋がります。
4. フィッシング防止コード
フィッシング防止コードとは、Binanceから送られてくるメールに記載される、自分で設定した独自の文字列です。例えば「うちの犬の名前はポチ」と設定しておけば、本物のメールには必ずこの文字列が含まれます。偽造メールにはこれが含まれません。
設定:セキュリティ → フィッシング防止コード → 独自の文字列を入力して保存。
5. 出金ホワイトリスト
「ホワイトリスト登録済みのアドレスへの出金のみを許可」を有効にし、普段使用する出金先アドレスを追加してください。これにより、万が一アカウントに侵入されても、攻撃者は登録済みのアドレスにしか出金できなくなります。
新しいアドレスを追加した後は、24時間のクールダウン期間が設けられます。
6. デバイス管理
セキュリティ → デバイス管理。使用していないデバイスを削除してください:
- 古いスマートフォン
- 友人に貸した際にログインしたPC
- 退職した職場のPC
日常的に使用する2〜3台のみを残すようにしましょう。
7. API監査
API → 管理(Manage) → すべてのAPIキーを表示。
各キーについて以下を確認してください:
- 現在も使用しているか?不要なものは削除
- 権限は最小限か?先物や出金権限はデフォルトでオフにする
- IPホワイトリストは紐付けられているか?
8. サブアカウントの権限
戦略ごとにサブアカウントを運用している場合は、各サブアカウントについて以下を確認してください:
- 出金機能が有効になっていないか
- API権限が独立しているか
- メールアドレスが独立しているか
9. サードパーティ連携の認可
OAuthで認可したサードパーティアプリの一覧から、以下を削除してください:
- 使用しなくなったコピートレードプラットフォーム
- テストで使用した戦略ボット
- 古いモバイルアプリ(すでにアンインストールしたもの)
10. メールのフィルタリングルール
侵入者は、Binanceからのセキュリティ通知メールを密かに転送するために、メール設定に転送ルールを仕掛けることがあります。
メールの設定 → フィルター → すべてのルールを確認し、不審な「自動削除」や「自動転送」の項目を削除してください。
11. ブラウザ拡張機能の監査
拡張機能は、パスワードを盗み取るための一般的な入り口です。インストール済みの拡張機能を点検してください:
- 有名な拡張機能に成りすました偽物はないか?
- レビュー数やダウンロード数は信頼できるか?
- 要求されている権限は妥当か?
不要な拡張機能は直ちに削除しましょう。
12. OSのアップデート
古いシステムの脆弱性は、キー入力の盗み取りやクリップボードの監視、ブラウザパスワードの窃取に利用される可能性があります。Windows、macOS、Android、iOSは常に最新バージョンに保ってください。
ウイルス対策ソフト(Windows Defenderで十分です)のリアルタイム保護を有効にしましょう。
高額資産アカウント向けの強化項目
資産が5万ドルを超える場合は、以下の追加対策を推奨します:
| 強化策 | 説明 |
|---|---|
| コールドウォレットでの保管 | 取引所には直近で取引する分だけを置く |
| マルチデバイスPasskey | メインとバックアップの2つのハードウェアキーを用意 |
| 法定通貨入金用口座の分離 | 出入金専用の銀行口座を用意する |
| メール専用PC | メールログインはクリーンな専用PCでのみ行う |
| 月次セルフチェック | 上記12項目を毎月のカレンダーに登録する |
盗難に遭った場合の応急対応フロー
- 直ちにパスワードを変更する
- 2FAをリセットする
- すべてのAPIを無効化する
- ホワイトリストをクリアする
- カスタマーサポートに連絡して資産を凍結する
- 証拠を収集し、Binanceにチケットを提出する
- 警察に通報する
時間は金なりです。最初の2時間がゴールデンタイムであり、24時間を経過すると取り戻すことは極めて困難になります。
よくある質問
Q:ハードウェアキーを失くしたらどうすればいいですか? A:バックアップ用のキーを使用するか、メール2FA + 本人確認(KYC)プロセスを通じて復元します。そのため、必ず2つ登録しておくことをお勧めします。
Q:パスワードマネージャーでBinanceのパスワードを保存しても安全ですか? A:1PasswordやBitwardenなどの監査済みのツールは、マスターパスワードが強力であれば安全です。
Q:公共のWiFiでBinanceを操作してもいいですか? A:リスクが高いため推奨しません。重要な操作は4G/5G回線や自宅のWiFiで行ってください。
Q:スマートフォンを盗まれたらどうすればいいですか? A:リモートロック + 通信キャリアへの利用停止連絡 + すぐにPC版Binanceからそのデバイスのアクセス権限を削除してください。
Q:フィッシング防止コードをメールのパスワードと同じにしてもいいですか? A:いけません。フィッシング防止コードはメールの本文に表示されるため、パスワードとは別にする必要があります。
関連記事
セキュリティは一度きりの作業ではなく、毎月の習慣です。月に一度、固定の時間を設けてこれら12項目を確認することで、あなたのアカウントは99%の人よりも安全になります。