バイナンス公式アドレス最新

2026-04-21 · モバイルセットアップ · 11
なぜメールヘッダはURLより偽造が難しいのか 3分で認証結果を読む ステップ1:元メールを開く ステップ2:Authentication-Results 行を特定 ステップ3:重要ポイントを照合 ARC認証チェーン:転送メールでも真偽が見える メールヘッダから本物の公式サイト入口を逆推 よくある偽装パターンと見破る方法 偽装パターン1:表示名の偽装 偽装パターン2:返信アドレスの罠 偽装パターン3:本物の公式サイトリンクを挿入して目くらまし 見破る手段:公式 Verify ツールを活用 アプリ側の検証方法も同様に適用可能 よくある質問 FAQ

大多数の方はバイナンス公式サイトの真偽判断で、URLのスペルと鍵アイコンしか見ません。しかし偽装集団の公式サイトはHTTPS証明書もページビジュアルも本物そっくりに仕上げています。本当にフィッシングを止める最後の関門は、実はメールヘッダの中に隠れています。バイナンスから届く本物メールの Authentication-Results フィールドは同時にSPF、DKIM、DMARCの3重検証を通過し、さらにARC署名チェーンも備えます。偽装サイトが送る通知メールは、本文をどれだけ巧妙に偽造してもこれらのフィールドを生成できません。本記事は企業メールの受信ルールで本物の公式サイトアドレスを逆推し、安全入口 バイナンス公式サイトバイナンス公式アプリiOSインストールガイド をまとめてお伝えします。

なぜメールヘッダはURLより偽造が難しいのか

URLは先取り登録でき、文字は置換可能、HTTPS証明書は数ドルで申請できます。これらは新規ユーザーを騙せます。しかしメールヘッダの認証フィールドはあなたのメールプロバイダが受信時にリアルタイム検証した結果です。Gmailでメールを開き「元のメッセージを表示」をクリックすると、長いReceived、Authentication-Results、ARC-SealはすべてGoogle自身が付けた署名で、誰も変更できません。

本物の binance.com は数年前にドメインメールポリシーを厳格モードに設定しました:

  • SPF ポリシー:-all、ホワイトリストIPのみ送信を許可、他は一律拒否
  • DKIM 署名:セレクタ s1、s2 の2つのローテーションキー、本文ダイジェストを暗号化
  • DMARC ポリシー:p=reject、検証失敗は直接バウンス、受信箱に入らない
  • BIMI アイコン:検証通過後にGmail、Yahoo 側にBinanceブランドロゴを表示

これらの1つでもFailがあれば、そのメールは binance.com から送信されていません。背後の「公式サイト」は必然的に偽装です。

3分で認証結果を読む

ステップ1:元メールを開く

  • Gmail Webページ版:メールを開く → 右上3点 → 「元のメッセージを表示」
  • Outlook Webページ版:メールを開く → 3点 → 「メッセージソースを表示」
  • 163/QQメール:メールページ右上「メール原文を表示」
  • Foxmail:メールを右クリック → 「メール原文を表示」

ステップ2:Authentication-Results 行を特定

2025年以降のバイナンス公式メールなら、似たような段落が検索できます:

Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=s1;
       spf=pass (google.com: domain of [email protected] designates ... as permitted sender)
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=binance.com

3つのフィールドすべてが pass、送信ドメインが正確に binance.com と等しければ、本物の公式メールです。

ステップ3:重要ポイントを照合

フィールド 本物の公式サイトの値 赤旗の値
header.from binance.com binance-support.com / binance.cc
dkim pass, s=s1 または s2 neutral / fail / none
spf pass softfail / neutral
dmarc pass, p=REJECT none / quarantine

いずれかが外れれば、メール背後の「公式サイト」は本物ではありません。特に dmarc が none なら、送信ドメインが厳格ポリシーを設定していない証拠で、偽装サイトの典型的特徴です。

ARC認証チェーン:転送メールでも真偽が見える

企業ユーザーはバイナンス通知メールを会社メールに自動転送することが多く、この場合SPFは送信IPが変わってFailしますが、ARC(Authenticated Received Chain)は元のGoogle/Outlookの検証結果を保持します。こう見えます:

ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass [email protected];
       dmarc=pass header.from=binance.com
ARC-Message-Signature: i=1; a=rsa-sha256; ...
ARC-Seal: i=1; a=rsa-sha256; s=arc-20160816; d=google.com; ...

このチェーンは、メールがGoogleに最初に入ったときは合法で、その後転送されても改ざんされていないことを示します。偽装サイトのメールは何度転送されてもARC-Sealを作れません。Sealは上流メールプロバイダの秘密鍵で署名する必要があるからです。

メールヘッダから本物の公式サイト入口を逆推

認証フィールドを読めば、いくつかの確かな結論が得られます:

  1. 送信ドメインは binance.com のみまたは指定サブドメイン、他はすべて偽
  2. 公式メール末尾のリンクのメインドメインは binance.com、まれに binance.us
  3. 配信停止リンク、ヘルプセンターリンクも同様に binance.com/support を指す
  4. BIMIロゴの表示はドメイン保有者がVMC証明書審査を完了したことを示す、現在最高級の視覚信頼マーカー

逆に、メール本文が binance-xxx.com、binance.cc、binance.live へのアクセスを要求する一方で、header.from が gmail.com、outlook.com、qq.com なら、100%フィッシングです。

よくある偽装パターンと見破る方法

偽装パターン1:表示名の偽装

送信者「Binance Security Team」は専門的に見えますが、真の header.from は [email protected] かもしれません。常に From フィールドの @ 以降を基準にし、表示名は無意味です。

偽装パターン2:返信アドレスの罠

From が [email protected] で正常に見えても、Reply-To フィールドが [email protected] を指すことがあります。ユーザーが「返信」を押すとプライバシーが詐欺師に渡ります。チェック時は Reply-To も併せて見ます。

偽装パターン3:本物の公式サイトリンクを挿入して目くらまし

メール内の80%のリンクは本物の binance.com で、ログインボタンだけが偽装サイトを指します。毎回マウスをリンクに乗せて下端のURLを確認し、ボタンテキストは信じません。

見破る手段:公式 Verify ツールを活用

バイナンスは公式サイトに binance.com/verify ページを設置し、ドメイン、メール、Telegram、アプリパッケージ名の4種の検証に対応しています。疑わしいメールアドレスを貼り付ければ数秒で結果が出ます。これが公式唯一認可の反フィッシング検証入口です。

アプリ側の検証方法も同様に適用可能

スマホにダウンロードしたバイナンスアプリも認証の観点から逆引きできます:

  • Android APK の署名フィンガープリントはバイナンス開発者証明書と対応すべきで、SHA-256 署名フィンガープリントは binance.com/verify の「App」欄で公式公開値を検索可能
  • iOS は App Store で Binance を入力、開発者表示が Binance Holdings Limited、他の名前はクローン
  • バイナンス公式アプリ からダウンロードしたAPKには公式署名があり、インストール前に apksigner で署名確認可能
  • iOSユーザーで海外Apple IDがない場合、iOSインストールガイド の手順に従ってください

アプリがブラウザよりフィッシング耐性が高い核心的理由は、システム署名検証が第三者による同じパッケージ名での再パッケージを許さないことです。この保護はウェブ側にはありません。

よくある質問 FAQ

Q1:メールクライアントに「元のメッセージを表示」オプションがない場合は? Webページ版に切り替えて同じメールを開けば、主要メールサービスのWebページ版はすべて原文表示機能を保持しています。クライアントでできないのはモバイル版が簡略化されているためでしょう。

Q2:dmarc=pass なら100%安全? 違います。DMARCはメールが送信ドメインから本当に来たことしか証明しません。送信ドメインの所有者が誰かは証明しません。ただしdmarcすらfailなら、ほぼ即座に判定できます。必要条件であって十分条件ではないと考えてください。

Q3:バイナンスメールのspfがneutralなのはなぜ? 多くは企業メールゲートウェイの転送経由で、SPFがIP変化で不安定になるためです。その時はDKIMがpassか確認すればよく、DKIMはメール内容に署名するため転送の影響を受けません。

Q4:Authentication-Resultsに @binance.com と @bnc.lt が同時に現れるのはなぜ? 正常です。bnc.lt はバイナンスが使うメール短縮URLサービスのドメインで、公式インフラに属します。header.from が binance.com なら本物のメールです。

Q5:メールヘッダ以外に、公式サイトを逆引きする技術手段は? binance.com の WHOIS 登録情報(Binance Holdings Limited を指すべき)、SSL証明書の発行者(DigiCert や GlobalSign が発行する OV/EV 証明書)、DNSのCAAレコード(どのCAが binance.com に証明書を発行できるか限定)を調べられます。これらを全てクロス検証するのが最も確実です。

Android:APK直接インストール。iOS:海外Apple IDが必要
アプリをDL バイナンス公式

関連記事

iPhoneでバイナンスを最新版にアップデートする方法?
MacでBinanceは使えるのか?
iPhoneにバイナンスをインストールする方法?