多くの方はバイナンス公式サイトの識別を b-i-n-a-n-c-e 7文字の肉眼照合に頼っていますが、人の目は疲れ、ぼんやりし、偽装サイトはどんどん本物に似せてきます。実はより確実な方法があります。パスワードマネージャに判断させることです。Bitwarden、1Password、Dashlane、Apple iCloud キーチェーンはいずれもURIマッチング機能をサポートしています。ブラウザが開いたページのドメインが保存したエントリと一致しなければ、パスワードは自動入力されません。まずバイナンス公式サイトで登録を完了し、バイナンス公式アプリでクライアントをダウンロード、iOS側は iOSインストールガイド をご参照ください。binance.comを一度保存すれば、以降の真偽判定はブラウザ拡張に任せられます。
パスワードマネージャが公式サイトを認識できる理由
URIマッチングの底層原理
アカウントとパスワード保存時、パスワードマネージャはURI(統一資源識別子)を1件記録します。通常はウェブページのルートドメインです。以降ウェブページを開くと、拡張がアドレスバーのドメインを読み取り、保存したURIと比較します。一致すれば入力ボタンがポップアップし、不一致なら静かにしています。
このメカニズムは偽装サイトにほぼ自然免疫です。binnance.com、b1nance.com、binance-login.top などのドメインは肉眼では似ていますが、文字列比較でbinance.comと等しくないため、パスワードマネージャは能動的に点灯しません。
肉眼照合との違い
肉眼の判断は注意力に依存し、疲労、散漫、画面の干渉が判断ミスを引き起こします。プログラムによる文字列比較はこれらの問題がなく、保存エントリ自体が正しければ、以降はミリ秒単位の精密マッチング。Unicode同形文字攻撃(キリル文字 а でラテンa を装う)にも有効です。底層の文字コードポイントが異なるからです。
ブックマーク改ざんへの防御
ブラウザのブックマークは拡張や悪意あるスクリプトに書き換えられ、binance.comが見た目は同じでも実際は異なるリンクに変わる可能性があります。変えられてもパスワードマネージャのURIデータベースは拡張のローカルやクラウドに保存され、ブラウザのブックマークに連動せず、クリック時にも不一致で自動入力を拒否します。
主要3つのパスワードマネージャの設定方法
Bitwarden
オープンソース、無料版で十分。初回 binance.com ログイン時、ブラウザ拡張がアカウント保存を確認するポップアップを出します。OKでURI https://www.binance.com のエントリが生成されます。このエントリの編集ページで、URIマッチング方式は「ベースドメイン」を選べます。www.binance.com、accounts.binance.com、academy.binance.comはすべて同じグループとして扱われます。
マッチングモードには「ホスト名」「で始まる」「正確」「正規表現」の5種類があります。一般ユーザーは「ベースドメイン」で十分、厳格要件があれば「正確」に変更、ただし複数のサブドメインエントリを自分で維持する必要があります。
1Password
有料製品、体験がスムーズ。binanceアカウントを保存すると、1Passwordはサイドバーに Binance 項目を表示、アイコンはbinance.comのfaviconから自動取得。編集ページで、ウェブサイトフィールドに複数のリンクを追加でき、メインURLは https://www.binance.com/zh-CN を入力。1Passwordはデフォルトでファジーマッチングでサブドメインを処理します。
Apple iCloud キーチェーン
iPhoneユーザーには最も省力。Safariでbinance.comにログイン後「キーチェーンに保存」を選ぶと、システムが自動的にドメインを記録します。次回偽装サイトでメールを入力する際、システムは自動入力候補を表示しません。これ自体がアラートサインです。Macで「設定 > パスワード」を開くと、保存済みエントリを手動で確認・編集できます。
検証メカニズムが発動しないときの確認
「binance」ページに入って拡張の入力ボタンが出なかったら、アカウントを入力する前に焦らないでください。3つの可能性:
- 偽装サイトに入った、URI不一致で拡張が静か。直ちにページを閉じるべき
- 拡張自体が異常、一時的に無効化、またはプラグインバージョンが古い
- エントリ保存時のURIと現在アクセスしているサブドメインが非互換、例:保存時にaccounts.binance.com、現在はwww.binance.com
トラブルシューティング順:まずアドレスバーのドメインがbinance.comルートドメインか見て、次に拡張アイコンが点灯するか確認、最後に拡張のメイン画面で手動検索でBinanceエントリの存在を確認します。
真偽サイトのマッチング挙動比較
| シーン | 本物の公式サイト binance.com | 偽装サイト binnance.com |
|---|---|---|
| Bitwardenアイコン | アドレスバーにバッジ数字表示 | バッジ空白・数字なし |
| 1Passwordサイドバー | Binanceを自動フィルタ | 「マッチなし」を表示 |
| キーチェーン自動入力 | キーボード上にアカウント候補 | キーボードは通常・候補なし |
| 右クリックメニュー入力 | 保存したアカウントを表示 | 「このサイトのアカウントなし」表示 |
| 拡張アイコン色 | 明るくなるかバッジ付き | デフォルトグレーのまま |
どれかの欄が異常なら、もう2度見する価値があります。
バイナンス自身のセキュリティツールと連携
フィッシング対策コード
バイナンスアカウントセキュリティ設定でカスタム文字列を構成すれば、以降の公式メールに必ずこの文字列が付きます。パスワードマネージャがウェブを守り、フィッシング対策コードがメールを守る、2つの盾は互いに代替不可です。
デバイス管理
ログイン後「セキュリティ→デバイス管理」で現在ログイン中のデバイスを確認できます。パスワードマネージャが点灯しなかったのにアカウントを入力してしまい、ログイン成功時にここに見知らぬデバイス痕跡が残れば、直ちにセッションを取り消してパスワードを変更できます。
二段階認証
Google認証器やYubiKeyハードウェアキーは第3層の防御です。アカウントパスワードがフィッシングされても、攻撃者が動的認証コードを取得できなければログインを完了できません。パスワードマネージャはウェブサイト身分の識別、2FAはログイン身分の検証を担当します。
AndroidとAppleアプリ端の状況
Android
バイナンスAndroidアプリはAPKインストールパッケージから取得、ブラウザフローを通らないため、パスワードマネージャのURIマッチングは直接適用されません。しかしBitwardenと1Passwordはアクセシビリティサービス入力機能を提供します。スマホシステムが現在のアプリパッケージ名を認識し、本物のバイナンスアプリのパッケージ名は com.binance.dev です。偽装アプリは画面が同じでもパッケージ名が違い、自動入力は同様にトリガーされません。
Apple iOS
AppleアプリはApp Storeからダウンロードし、開発者情報はBinance(Cayman Islands)Limitedで固定。アプリ内でパスワード入力フィールドをタップすると、iOSシステム下部にキーチェーン保存のアカウント候補がポップアップし、タップで入力。もし「パスワードが見つかりません」と出たら、システムは現在のアプリを以前アカウント保存したものと認識していないということです。
よくある誤解
「パスワードマネージャを開けば絶対安全」──違います。パスワードを手動コピー&ペーストで任意のページに貼り付けると、マネージャのURIマッチングは機能しません。すべて入力ボタン経由の習慣が鍵です。
「保存時にURIが間違ったまま我慢」──ダメ。誤ったURIは以後のマッチングが永遠に失敗するか、誤った場所にマッチングします。誤りに気付いたら直ちにエントリ編集で修正。
「無料版機能で十分」──大多数のユーザーには確かに十分。Bitwarden無料版にはURIマッチング、2FA統合、デバイス間同期が含まれます。緊急アクセス、高度レポートなどの企業シーンだけが有料版を必要とします。
FAQ
Q1:パスワードマネージャのURIエントリがハッカーに改ざんされたら?
Bitwardenと1Passwordはエントリを暗号化保存、ローカルもクラウドもエンドツーエンド暗号化、マスタパスワードを握らないと解読できません。マスタパスワード+2FAの二重保護を有効化すれば、クラウドアカウントが侵入されても攻撃者はエントリ平文を取得できません。
Q2:複数のバイナンスサブサイト(accounts、academy)は個別保存する?
不要。メインサイトbinance.comを保存し、マッチングモードを「ベースドメイン」に設定すれば、すべてのサブドメインが同じエントリを共有。特定のサブサイトに別アカウント(稀)が必要なら、個別追加します。
Q3:ブラウザを変えてもパスワードマネージャは使い続けられる?
可能です。Bitwarden、1PasswordはChrome、Edge、Firefox、Safari複数ブラウザ拡張を提供し、同じアカウントにログインすればエントリが自動同期。Appleキーチェーンは SafariおよびiOS/macOSシステム内でのみ有効、WindowsのChromeでは使えません。
Q4:バイナンスがドメインを変更したらマッチングは失効する?
メインドメインbinance.comは長期安定しており、能動的変更の計画はありません。万が一新ドメインが稼働する場合、公式はピン留めTwitter、メールお知らせで事前通知します。その時パスワードマネージャで旧エントリのURIを更新すれば済みます。
Q5:パスワードマネージャを使うことはバイナンス公式に検出される?
検出されません。自動入力行為はブラウザ側で完了、サーバーへのリクエストは手動入力と同じです。バイナンスはログインアカウントとIPしか見えず、どう入力したかは見えません。
Q6:オープンソースのBitwardenとクローズドソースの1Passwordはどちらが安全?
両方とも独立セキュリティ監査を通過しています。オープンソースはコードが検証可能で、コミュニティ貢献が活発。クローズドソースは通常、磨かれたインタラクションとカスタマーサポートを持ちます。予算に制限があればBitwarden、体験を重視なら1Password。どちらも裸よりはるかに信頼できます。