バイナンス公式サイトに登録して半年も経てば、あなたのメールボックスには「バイナンスから」と称するメールが何十通も届いているはずです。しかし、その中には本物と偽物が混在しています。バイナンス公式アプリのプッシュ通知とメールが同時に届くこともあるため、それらを照らし合わせることで二重の検証が可能です。iPhoneユーザーの方は iOSインストールガイド を参考にアプリを導入し、「まずアプリを確認し、その後にメールを見る」習慣をつけるだけで、ほとんどのフィッシング詐欺を防ぐことができます。
結論:メールの真偽を判断する最速の3ステップは、①アンチフィッシングコードを確認する(設定した文字列と一致するか)、②送信元の完全なドメインを確認する(@binance.com または @post.binance.com であるか)、③リンクにマウスを重ねて実際の遷移先を確認する、です。 これらすべてをクリアすれば本物、一つでも怪しければ偽物です。
ステップ1:アンチフィッシングコードは必須の防衛線
ポイント:アカウント操作に関わるバイナンスの公式メールには、必ずあらかじめ設定した「アンチフィッシングコード(Anti-Phishing Code)」が記載されています。この文字列がないメールは100%フィッシング詐欺です。
コードの記載場所
メールの種類によって記載場所は若干異なります:
- ログイン通知:件名または本文の1行目
- 出金確認:本文中央の「確認ボタン」のすぐ上
- セキュリティアラート:件名の中
- 入金完了:本文の上部
例:
Subject: New Login from Tokyo | Anti-phishing code: MyB1nance2026
または:
Anti-phishing code: MyB1nance2026
Hi user@example.com,
We detected a new login from XX device...
注意すべきポイント
- もしアンチフィッシングコードを設定していない場合、「Anti-phishing code: XXX」と書かれていても信頼してはいけません(攻撃者が適当な文字列を入れている可能性があります)。
- 設定済みの場合、メール内のコードが設定したものと一文字も違わず一致している必要があります。
- キャンペーンやマーケティング関連のメールには、通常コードは記載されません(これはバイナンスの仕様で、アカウント操作を伴わないためです)。
- コードは英大文字・小文字を区別します(例:
Cat$BnB≠cat$bnb)。
ステップ2:送信元のドメインを正確に確認する
ポイント:バイナンス公式メールの送信元ドメインは、特定のサブドメインに限定されています。わずかな綴りの違いも偽物です。
公式の送信元リスト
| 用途 | 正式なドメイン |
|---|---|
| セキュリティ通知 | noreply@post.binance.com |
| キャンペーン・マーケティング | marketing@post.binance.com |
| カスタマーサポートの返信 | support@binance.com |
| 認証コード通知 | verify@post.binance.com または noreply@directmail.binance.com |
| 法令遵守(コンプライアンス)通知 | compliance@binance.com |
よくある偽ドメインの手口
| 手口 | 例 | 見分け方 |
|---|---|---|
| 文字の差し替え | binnance.com、blnance.com |
nが一つ多い、l(エル)を1(いち)に置き換えるなど |
| トップレベルドメインの変更 | binance.cn、binance.io、binance.app |
.com ではない |
| プレフィックスの追加 | binance-jp.com、binance-login.com |
公式ドメインの後にハイフンを追加 |
| サフィックスの追加 | binance.com.xx.cc |
サブディレクトリのように見えるが、実際は別のドメイン |
| 国別のバリエーション | binance-japan.com |
バイナンスはそのようなドメインを使用しません |
| 視覚的に似た文字 | binаnce.com(キリル文字の а を使用) |
見た目はほぼ同じだが別物 |
送信元の確認方法
メールクライアントによって操作が異なります:
- Gmail(ブラウザ版):送信者名の横にある小さな下矢印をクリックして、完全なアドレスを確認。
- Outlook:送信者名をクリック。
- Apple Mail:送信者の詳細を長押し、またはクリック。
- スマートフォンのメールアプリ:上部の「詳細」や送信者名をタップ。
表示されている「送信者名」だけで判断するのは無意味です。誰でも「Binance Official」と表示名を変えることができます。必ず実際のアドレスを確認してください。
ステップ3:リンクの「ホバー(hover)」で検証
ポイント:メール内のリンクをクリックする前に、必ずマウスカーソルをリンクの上に置き(ホバー)、画面左下に表示される実際のURLを確認してください。
本物のリンクの特徴
- ドメイン:
binance.comまたはそのサブドメイン(accounts.binance.com、www.binance.comなど)。 - HTTPS:すべての公式リンクは
https://で始まります。 - 妥当なパス:
/ja/loginや/securityなど、見覚えのあるディレクトリ構造。
偽物のリンクの特徴
- 見慣れないドメイン:
binance-secure.xyz、bnb-login.ccなど。 - 短縮URL:
https://t.co/XXXXのような短縮リンク(本当の遷移先が見えません)。 - サブドメインの偽装:
binance.com.fake-domain.io(この場合、本当のドメインはfake-domain.ioです)。 - 煽り文句を含むパス:
/verify、/reset、/urgentなど、緊急性を装う単語。
スマホでの確認方法(ホバーの代わり)
スマホにはマウスがありませんが、リンクを2〜3秒間長押しすることで、遷移先のURLがプレビュー表示されます。不確かなリンクを直接タップするのは絶対にやめましょう。
コピー&ペーストで確認
不安な場合は、リンクをコピーしてメモ帳などに貼り付けてみてください。
表示されている文字: https://www.binance.com/login
実際のURL: https://binance-jp-secure.xyz/login?redirect=binance.com
このように、メモ帳ならURL全体を冷静に確認でき、フィッシングサイトの正体が暴かれます。
本物のメール vs フィッシングメール完全比較
| 識別ポイント | 本物のメール | フィッシングメール |
|---|---|---|
| アンチフィッシングコード | 正確に表示される | 記載なし / 誤り / 定型文 |
| 送信元ドメイン | @binance.com またはサブドメイン |
@binance-xx.com などの類似品 |
| リンクのホバー確認 | すべて binance.com を指す |
ジャンプ先に未知のドメイン |
| メールの文章の質 | 自然な日本語 | 機械翻訳のような不自然な箇所がある |
| 宛名の呼び方 | 登録済みのニックネーム | 「親愛なるユーザー様」「Dear customer」 |
| 緊急性の強調 | なし(客観的な事実のみ) | あり(24時間以内の操作を強要する) |
| 添付ファイル | ほぼなし | .zip / .html / .pdf が付いていることが多い |
| リーガルコピー(フッター) | 正確で完璧 | 欠落しているか、内容がデタラメ |
| 配信停止リンク | 正常に機能する | フィッシングサイトへ誘導される |
よくあるフィッシングメールの常套句
ポイント:フィッシング詐欺の本質は、ユーザーの「恐怖」や「強欲」を突くソーシャルエンジニアリングです。これらのパターンを知ることで、冷静に対応できます。
恐怖を煽るパターン
- 「アカウントに異常なログインがありました。凍結を防ぐため、すぐにリンクから認証してください」
- 「5 BTCの出金申請を受け付けました。10分後に実行されます。心当たりがない場合はキャンセルしてください」
- 「新法規制への対応のため、48時間以内に再度KYCを完了させてください。行われない場合、アカウントは永久凍結されます」
- 「APIキーの漏洩を検知しました。すぐにリセットしてください」
- 「2FAがリセットされました。ご本人による操作か確認してください」
欲を刺激するパターン
- 「おめでとうございます!BNBエアドロップの対象に選ばれました。1000 USDTを受け取るにはこちらをクリック」
- 「バイナンス新トークンマイニングの枠に空きが出ました。24時間限定です。今すぐ応募を」
- 「アカウントがVIPアップグレード補填の対象となりました。こちらをクリックして受け取ってください」
- 「ローンチパッドの先行申し込み枠が開放されました。こちらからアクセスしてください」
権威を装うパターン
- 「バイナンス法務部門より、アンチマネーロンダリング(AML)調査への協力のお願いです」
- 「バイナンス・コンプライアンス部門より、資金源証明の提出が求められています」
- 「弊社CEOより、限定プライベートイベントへの招待状が届いています」
どのような文言であっても、まずは冷静になり、検証してから行動してください。本当に深刻な問題であれば、30分程度対応が遅れたからといって、アカウントが即座に消滅することはありません。
最も確実な「逆引き検証」
ポイント:最も安全な方法は、「メール内のリンクは一切踏まず、自分でバイナンスの公式サイトを直接開いて確認する」ことです。この習慣はどんなテクニックよりも強力です。
逆引き検証のステップ
- メールが届いたら、本物か偽物かに関わらず、一度メールを閉じる。
- ブラウザを開き、手動で
binance.comと入力するか、あらかじめ保存したブックマークから公式サイトへアクセスする。 - アカウントにログインする。
- 「公告センター」「内部メッセージ」「セキュリティセンター」を確認する。
- メールの内容と一致する通知がそこにあるかを確認する。
バイナンスの内部通知に同じ内容があれば本物、なければ偽物です。偽物の場合は即座にメールを削除してください。
添付ファイルの罠
ポイント:バイナンス公式がメールにファイルを添付することはほとんどありません。.zip、.exe、.html、.pdf が付いた「バイナンスからのメール」は警戒すべきです。
添付ファイルに潜む危険
Binance_Security_Update.exe:直接的なウイルス(トロイの木馬)。Account_Verification.html:開くとローカルのフィッシングページが表示される。Receipt.pdf.exe:二重拡張子による偽装。KYC_Form.zip:解凍すると悪意のあるドキュメントが出てくる。Tax_Statement.docm:マクロが含まれたWord文書。
公式が添付ファイルを送る数少ないケース
- サポートチケット(問い合わせ)の回答時にPDFの法的書類を送る場合。ただし、事前にチケット内で説明があり、いきなり送られることはありません。
- 月次の取引レポートなどをPDFで送る場合。これには通常、個人情報の入力を求める操作は含まれません。
不要な添付ファイルが付いているメールを受け取ったら、開かずに削除してください。
よくある質問
Q:フィッシングメールだと確信したらどうすればいいですか?
A:以下の4つを行ってください。 (1) リンクをクリックしない、返信しない、添付ファイルを開かない。 (2) メールサービス側で「迷惑メール」または「フィッシング」として報告し、フィルターの精度向上に協力する。 (3) バイナンス公式のフィッシング報告用窓口 report@binance.com にメールを転送する(スクリーンショットではなく、元のメールを転送)。 (4) メールを削除する。
Q:見覚えのあるサポートのアドレスから届いたメールも偽物ですか?
A:その可能性があります。攻撃者は送信元のアドレス表示を偽装(スプーフィング)することがあります。メールヘッダーの Received-SPF、DKIM、DMARC などの項目を確認し、すべて pass にになっていない場合は偽物の可能性が極めて高いです。
Q:スマホのメールアプリでヘッダーを確認する方法はありますか? A:iPhoneの標準メールアプリでは確認が難しいため、PCで確認することをお勧めします。Gmailアプリの場合は、右上の三点リーダーから「メッセージのソースを表示」に近い項目があれば確認可能です。
Q:バイナンスからSMSや電話が来ることはありますか? A:限定的ですがあります。 (1) あなたがリクエストした認証コードのSMS、(2) サポートチケットに関連してサポート担当者から折り返しの電話がかかってくる場合(非常に稀です)。しかし、バイナンス側から「リンクをクリックさせるSMS」を送ったり、「電話でパスワードや認証コードを聞き出す」ことは絶対にありません。
Q:仮想通貨専用のメールアドレスを作るのは効果的ですか?
A:非常に効果的です。バイナンスや他の取引所専用のアドレス(例:mybnb.crypto@gmail.com)を作成し、仕事やプライベートのアドレスと分けることをお勧めします。そのアドレスをSNSや他のサイトの登録に使わなければ、そこに届くメールが本物である確率が格段に上がります。
Q:アンチフィッシングコードの設定場所が見当たりません。 A:デフォルトではオフになっていることがあります。バイナンスにログイン後、「セキュリティ」→「アンチフィッシングコード」から設定可能です。一度設定すれば、それ以降の公式メールに必ずコードが表示されるようになり、セキュリティレベルが飛躍的に向上します。
Q:フィッシングメールを送ってきた犯人をからかってやろうと思いますが。 A:お勧めしません。攻撃者とやり取りをすると、あなたのメールアドレスが「アクティブな(反応のある)ターゲット」としてリストアップされ、さらに多くのフィッシングメールが届くようになります。無視して削除・報告するのが最も賢明な対応です。