一般の方はバイナンス公式サイトの真偽をドメインのスペルを肉眼で見て判断しますが、同形文字や中間遷移があると失敗します。発想を変え、ウェブ技術スタックから入り、バイナンス公式サイトがどのCDN上で走り、DNS解決がどこを指すか、HTTPS証明書チェーンが誰に発行され、世界の複数探査ノードが返すIPが一致するかを調べる方法を使えば、偽サイトはこれらを完全には偽造できません。本ページの バイナンス公式サイト 入口と バイナンス公式アプリ ダウンロードリンクはこれらの技術口径で照合済みで、iOSユーザーは iOSインストールガイド もあわせて完全インストールを済ませるとよいでしょう。
バイナンス公式サイトはどんなインフラで動いているか
多くの方は、binance.comドメインの裏に全球分散インフラ一式が掛かっており、単一サーバーではないことを知りません。アーキテクチャを理解すれば、偽サイトを逆識別できます。
フロントエンドCDNはCloudflare
ターミナルで www.binance.com に dig や nslookup を行うと、返されるAレコードはCloudflareのIPレンジに落ちます。よく見る104.16.x.x、104.17.x.x、172.67.x.xなどはすべてAS13335(Cloudflare自治システム番号)に属します。バイナンスのWebトラフィックのフロントエンドはCloudflareが受け持ち、DDoS耐性、グローバル近傍分散、TLSハンドシェイクの高速化のメリットがあります。偽サイトもCloudflareを使うことがありますが、後続のチェックと合わせれば区別できます。
アカウントセンターは独立サブドメイン
accounts.binance.com はログイン、登録、二段階認証など機微操作を担当、独立した1層の隔離があります。技術分析すると同じくCloudflareを経由しますが、証明書チェーンのSAN(Subject Alternative Name)フィールドには accounts.binance.com、accounts.binance.info など複数サブドメインが追加で列挙されます。偽サイトはこの種のマルチドメイン証明書を偽造しません。
取引APIはAWSマルチリージョン
api.binance.com、api1.binance.com、api2.binance.com などのAPIは解決するとAWS EC2リージョンを指します。主に日本東京(ap-northeast-1)、シンガポール(ap-southeast-1)、欧州フランクフルト(eu-central-1)などのノードに分散。Web フロントと分離されており、フロントがダウンしても発注に影響せず、発注経路がダウンしても残高照会に影響しない設計です。
技術手段で本物の公式サイトを認識する方法
以下の方法はツール不要で、ブラウザ開発者ツールといくつかのオンラインサイトで完了できます。
HTTPS証明書のSANリストを見る
ブラウザで binance.com を開き、アドレスバーの鍵アイコンをクリック、証明書詳細を展開し、「使用者別名」(Subject Alternative Names)を見つけます。正規版は数十のbinance関連サブドメイン(*.binance.com、*.binance.info、accounts.binance.com など)を列挙します。偽サイトは通常、自分のドメインを1つしか署名できず、SANリストが非常に短いです。
DNSのAS帰属を確認
whois やオンラインBGP検索ツール(bgp.he.netなど)で返されたIPのAS番号を確認。バイナンスのフロントエンドはAS13335(Cloudflare)、APIはAS16509(Amazon AWS)のはず。帰属が小規模クラウドベンダーや国内データセンターなら、ほぼ偽サイトと判定できます。
マルチポイントプロービングでIPの一致を確認
ping.pe、ping.chinaz.comなどのマルチノードプロービングツールで、世界数十のノードから同時に binance.com にpingします。正規の公式サイトは大部分のノードで同じCloudflare IPレンジを返し、少数の制限地域だけで解決失敗やDNS汚染が発生します。偽サイトは通常、特定地域のみで解決し、他の地域ではアクセス不可です。
HTTPレスポンスヘッダを見る
ブラウザの開発者ツールでNetworkパネルを開き、ページをリロード、メインリクエストをクリック。正規の binance.com のレスポンスヘッダには server: cloudflare、cf-ray: xxxxx などのフィールドと、セキュリティ関連の strict-transport-security、content-security-policy が含まれます。偽サイトの大多数はCSPポリシーが非常に緩いか、直接ありません。
よくある偽装サイトの技術的特徴の比較
正規版と偽サイトのよくある違いを1つの表に:
| 技術次元 | 正規版 binance.com | よくある偽サイト |
|---|---|---|
| フロントAS | AS13335 Cloudflare | 小規模DC、VPS自治域 |
| APIエンドAS | AS16509 AWS | 独立APIなし、フロントと混在 |
| 証明書SAN数 | 数十のbinanceサブドメイン | 1〜2ドメインのみ |
| 証明書発行者 | DigiCert / Let's Encryptなど大手CA | 無料CA、有効期限数十日 |
| レスポンスヘッダ | server: cloudflare + cf-ray | 素のnginxまたはserverヘッダなし |
| CSPポリシー | 完全なホワイトリスト | 欠落またはunsafe-inline |
| マルチポイント検出IP | 全球一致のCloudflareレンジ | 単一地域VPS IP |
| TLSバージョン | TLS 1.3 優先 | TLS 1.0/1.1 も許容 |
サイト可用性監視が教えてくれること
バイナンスには独自のステータスページ binance-status.com(メインドメインとは独立、Statuspage.io上に掲載)があり、現物取引、先物、入金、出金、API、Webログインなど各サービスモジュールの稼働状況がリアルタイムに表示されます。正規のステータスページのページ構造、ドメイン、TLS証明書は固定されており、偽サイトはこのページを偽造することはありません(偽造しても意味がありません。実ユーザーが問題は自分側にないかを確認するためのページだからです)。
第三者監視プラットフォーム
UptimeRobot、Pingdom、Down Detectorなどの第三者プラットフォームはbinance.comのアクセスデータを長期追跡しています。これらのプラットフォームで「Binance」を検索すると、過去30日、90日の可用性曲線、応答時間分布が見えます。本物の公式サイトの応答時間のグローバル中央値は通常200〜500ms、可用性SLAは常時99.9%以上。偽サイトはこれらの監視プラットフォームの履歴には現れません。
自分で検出を実行
第三者プラットフォームを信用しない場合、家庭ブロードバンド、4G/5G、オフィスネット、海外VPSなど異なるネットワークでアクセステストを行い、DNS解決IP、TLS証明書フィンガープリント、応答時間を記録します。3〜4環境が返すIPが同じCloudflareのASレンジに落ち、証明書フィンガープリントが一致すれば、正規版にアクセスしていると確認できます。
バイナンス公式アプリと公式サイトの対応関係
アプリも同様の方法で照合できます。インストール後、任意の相場ページを開き、パケットキャプチャでAPIリクエストのドメインを見ると api.binance.com または www.binance.com/bapi/ のような公式サブドメインに送信されているはずです。偽装アプリはbinanceに見えるがメインドメインではない場所(例:api-binance-io.xxx)にリクエストを送ることがあります。
iOSバージョンの検証
iOS公式アプリはBinance実体が開発者として発行し、App Storeの開発者情報にはBinance会社名と公式サイトリンクが表示されます。App Storeからのインストール自体がApple審査の1層を挟むので、Androidよりリスクが低いです。
Android APKの検証
APKファイルを入手したら、apksigner verify --print-certs で署名情報を確認できます。Binance公式APKの署名証明書フィンガープリントは公開固定で、ネットの独立資料が相互裏付けできます。本ページでダウンロードするAPKの署名は公式リリースと一致し、インストール前に1度署名検証を行うとより確実です。
FAQ よくある質問
Q1:目の前のサイトがCloudflareで動いているかどう素早く確認する?
ブラウザ開発者ツールのNetworkパネルで server と cf-ray フィールドを確認、またはターミナルで curl -I https://www.binance.com を実行、出力にこの2つのヘッダがあります。cf-rayがあればCloudflare経由です。
Q2:バイナンスはなぜフロントにCloudflare、APIにAWSを使うのか? 両者の役割が違います。Cloudflareはグローバル分散と攻撃耐性に優れ、Webトラフィック配信に適します。AWSのコンピューティングリソースはマッチングエンジンと注文サービス配置に適します。フロントバック分離のアーキテクチャで単一障害の影響面を小さくし、各モジュールを独立に拡張できます。
Q3:一部ノードで binance.com にpingが通らない場合は? 各国のネットワークポリシーと地元通信事業者ルーティングが一部地域で解決失敗やタイムアウトを引き起こします。これはネットワーク層の問題で、バイナンス公式サイト自体の障害ではありません。ネットワークを変えたり、信頼入口やアプリを使うと回避できます。
Q4:証明書チェーンにLet's Encryptが見えたら正規でない? 違います。Let's Encryptは業界主流の無料CAで、すべてのブラウザが信頼します。バイナンスの一部サブドメインの証明書もLet's Encryptで署名されています。重要なのはSANリストと証明書チェーンが完全か、そして証明書が短期間で新規発行された異常証明書でないかです。
Q5:マルチポイントプロービングでbinance.comが解決失敗と出たら、公式サイトがダウン? 必ずしも。プローブノードの地域でDNSが汚染されたか出口がブロックされている可能性があり、ソースサイトの問題ではありません。正しい判断方法は大多数のノードが正常かを見ることで、80%以上のノードが正常なCloudflare IPを返せばソースサイトは問題ありません。
Q6:binance-status.comがサービス正常を表示しているのに開けない場合は? この場合、ローカルネットワークの問題がほとんどです。まず自分のDNSが汚染されていないか確認し、1.1.1.1や8.8.8.8に変えてみる。次にルーティングがCloudflareノード間で遠回りしていないか確認。ステータスページが全緑の時、問題はほぼユーザー側経路です。
Q7:アプリは公式サイトより安全? 「フィッシングリスク」の観点ではアプリの方が安全です。インストール後はすべてのリクエストがプリセットAPIドメインを通り、検索結果の偽リンクに騙されません。前提はダウンロードしたアプリ自体が正規版であることです。だから本ページリンクまたは公式アプリストアからの取得を推奨します。