Binanceアカウントの不正アクセスを防ぐには？最も重要なセキュリティ設定

更新日 2026-04-06 · 19 分セキュリティ

Binanceアカウントの不正アクセスを防ぐための鍵となるのは、Google Authenticatorによる2段階認証（2FA）、アンチフィッシングコード、出金ホワイトリスト、デバイス管理という4つのセキュリティ設定です。これら4つをすべて有効にすれば、万が一パスワードが盗まれても、攻撃者があなたの資産を送金することはできません。アカウント操作の前に、まずはBinance公式サイトで本人確認を行ってください。関連するアプリツールはBinance公式アプリからダウンロードでき、プラットフォームの入口はダウンロードセンターにまとめられています。本記事では、「必須」「推奨」「プラスアルファ」の3つのレベルに分けて、各設定について分かりやすく解説します。

アカウント乗っ取りのよくある手口

防犯対策を知る前に、攻撃者がどのようにアカウントを乗っ取るかを見てみましょう。Chainalysisの2024年次レポートによれば、暗号資産取引所のアカウント乗っ取りの主な手口は以下の通りです。

手口	割合	防御手段
フィッシングサイト / フィッシングメール	42%	アンチフィッシングコード + ドメイン確認
パスワードのリスト攻撃（他サイトで漏洩したパスワードの使い回し）	28%	独立したパスワード + 2FA
SIMスワップ（SMS認証コードの窃取）	14%	SMSではなくGoogle Authenticatorを使用
トロイの木馬 / キーロガー	9%	デバイスのセキュリティ + アンチフィッシングコード
ソーシャルエンジニアリング（偽のカスタマーサポートなど）	7%	相手からの接触を簡単に信用しない

正しい防御対策を行えば、少なくとも95%の攻撃を防ぐことができます。残りの5%は、デバイス自体が深くハッキングされるなどの極めてまれなケースです。

必須：Google Authenticatorによる2段階認証

なぜSMS 2FAを使わないのか

BinanceではSMSとGoogle Authenticatorの2種類の2FA方式を提供していますが、Google Authenticatorの方が圧倒的に安全です。理由は以下の通りです。

SMS認証コードは、SIMスワップ（ハッカーがあなたになりすまして通信事業者にSIMの再発行を依頼する）によって盗まれる可能性がある
特定の地域では、通信事業者の内部関係者によってSMSが傍受された実例がある
国際ローミング時、SMSの遅延や未達が発生する可能性がある
Google Authenticatorはネットワークを介さず、ローカルのデバイス内で動的コードを生成する

設定手順

スマートフォンのアプリストアで「Google Authenticator」を検索し、ダウンロードします（鍵のマークがついた灰色のアイコンです）。
Binanceアプリで「アカウント → セキュリティ → 2段階認証（2FA） → 認証アプリ」を開きます。
画面にQRコードと16桁の英数字の文字列が表示されます。
重要なステップ：この文字列を紙に書き写します（スマートフォンを紛失した場合、これを使って2FAを復元します）。
Google AuthenticatorでQRコードをスキャンすると、アプリ内に6桁の動的コードが表示されます。
Binanceアプリにその6桁のコードを入力して連携を完了させます。

これ以降、ログイン時にはメールアドレス・パスワードに加えて、Google Authenticatorの6桁のコードが必要になります。

復元キーの保管

16桁の文字列は、2FAの「シードキー（復元キー）」です。スマートフォンを紛失したり買い替えたりした場合、新しいスマートフォンのGoogle Authenticatorにこのキーを入力すれば、完全に同じ2FAを再生成できます。

⚠️ 以下の点を必ず守ってください：

紙に書き写し、少なくとも2部を別々の場所に保管する
スクリーンショットを撮ったり、デジタルデータとして保存したりしない
（単一障害点を作らないため）BinanceのWeb3ウォレットのニーモニックとは別に保管する

復元キーを保存していない場合の対処法

スマートフォンを紛失し、復元キーも保存していない場合、2FAがロックされてしまいます。「2FAのリセット」の申立て手続きが必要です。

アプリのログイン画面 → 2FAが使えない場合 → リセット申請を送信
本人確認書類（ID）＋顔認証を提出
スタッフによる審査を待ちます（7〜15営業日）
審査通過後、2FAの連携が解除され、新しい2FAを設定できるようになります

この期間中、アカウントはロックされ取引ができなくなります。だからこそ、「復元キーの保管」が非常に重要なのです。

必須：アンチフィッシングコード

アンチフィッシングコードとは何か

アンチフィッシングコード（Anti-Phishing Code）は、あなた自身が設定する文字列です。これを有効にすると、Binanceから送信されるすべての公式メールの上部にこの文字列が表示されるようになります。

効果：

受け取った「Binanceからの通知」メールにこのコードがない場合 → 100%偽のメールです
このコードがある場合 → 99.9%本物のメールです（攻撃者があなたのコードを知っていてメールを偽造しない限り）

フィッシングメールは、Binanceの公式を装って不正なリンクをクリックさせようとします。アンチフィッシングコードは、それを見破る最も簡単な方法です。

設定手順

「アカウント → セキュリティ → アンチフィッシングコード」にアクセスします。
任意の文字列（4〜20桁の英数字）を入力します。
Coffee2024 や Sunset_QX のように、自分だけが覚えていて個人情報を含まない文字列を選びます。
自分の名前、電話番号、生年月日、推測されやすいパスワードは使わないでください。
送信すると即座に反映されます。

設定後の確認

設定が完了すると、Binanceから確認用のテストメールがすぐに届き、メールの上部に設定した文字列が表示されます。表示されていれば、設定は成功です。

今後は、受け取ったすべての「Binance」からのメールに注意し、この文字列がないものはすべて削除し、リンクは絶対にクリックしないでください。

必須：出金ホワイトリスト

ホワイトリストの役割

出金ホワイトリストは、Binanceの高度なセキュリティ機能です。有効にすると、あらかじめ指定したアドレスにのみ出金が可能となり、それ以外のアドレスは入力してもブロックされます。

防御のシナリオ：攻撃者があなたのアカウントと2FAを乗っ取った場合、彼らの最初の目的はパスワードを変更し出金することです。ホワイトリストが有効になっていれば、攻撃者はまず自分のアドレスをホワイトリストに追加しなければなりませんが、追加には24〜48時間のクールダウン期間が設けられています。これにより、あなたは異常に気づき、アカウントを凍結するのに十分な時間を得ることができます。

設定手順

「ウォレット → 出金 → 出金アドレス管理 → アドレス帳」を開きます。
上部にある「ホワイトリストをオンにする」のスイッチを有効にします。
2FA認証を求められ、認証後に有効になります。
よく使う出金アドレスを追加します：
- 自分のハードウェアウォレットアドレス（Ledgerなど）
- 自分のWeb3ウォレットアドレス
- 信頼できる友人や家族の受取アドレス
どのアドレスか識別できるように、それぞれにラベル（任意の名前）をつけます。

新しいアドレス追加時のクールダウン

ホワイトリストを有効にした後の流れ：

新しいアドレスを追加 → メール＋2FAの認証 → 24〜48時間のクールダウン期間に入る
クールダウン期間中、そのアドレスへは出金できない
クールダウン終了後、アドレスが正式に有効になる

この遅延は手間に思えるかもしれませんが、無数のアカウントを救ってきた重要な仕組みです。攻撃者は24時間も待ちません。彼らはすぐに諦め、ホワイトリストを設定していない別のアカウントを狙います。

推奨：デバイス管理と異常ログイン通知

デバイス管理を有効にする

「アカウント → セキュリティ → デバイス管理」にアクセスすると、アカウントにログインしたことのあるすべてのデバイスを確認できます。

デバイスの種類（iPhone / Android / PC）
ログイン時のIPと場所
最終ログイン日時
現在オンラインかどうか

照合してください：すべてのデバイスが自分のものでしょうか？見知らぬデバイスがあればすぐに「削除」してログアウトさせ、直ちにパスワードを変更してください。

ログイン通知をオンにする

「アカウント → 通知の環境設定 → 異常なログイン」から設定します：

メール通知：オン
アプリ内通知：オン
SMS通知：任意

これにより、新しいデバイスからログインがあった際にすぐに通知が届きます。もし自分がログインしていないのに通知が来た場合は、ただちに以下の行動をとってください：

パスワードの変更
2FAのリセット
見知らぬデバイスを強制ログアウト
最近のアカウント活動を確認し、不正な取引がないかチェックする

推奨：操作パスワードとメールによる2段階認証

操作パスワードの設定

Binanceではログインパスワードとは別に、重要な操作を行うための「操作パスワード（資金パスワード）」を設定できます。

出金
セキュリティ設定の変更
API keyの作成

「アカウント → セキュリティ → 操作パスワード」で設定します。ログインパスワードとは異なるものを設定し、攻撃者のハードルを上げましょう。

高額操作時のメールによる二次確認

出金額が設定した閾値を超えた場合、Binanceは（2FAに加えて）追加でメールによる確認を要求します。

「アカウント → セキュリティ → 出金確認」にアクセスし、「メール確認」のスイッチをオンにします。これにより、出金を実行するにはメール内のリンクをクリックする必要が生じ、攻撃者はあなたのメールアドレスにまで侵入しない限り出金できなくなります。

プラスアルファ：ハードウェアウォレットと資産の分散

高額資産はハードウェアウォレットで保管する

長期間、多額の暗号資産（例えば給与半年分を超える額など）を保有する場合は、ハードウェアウォレットへの出金をお勧めします。

Ledger Nano S Plus：約79ドル、5000種類以上の通貨に対応
Ledger Nano X：約149ドル、Bluetoothでスマートフォンと接続、5000種類以上の通貨に対応
Trezor Model T：約219ドル、オープンソースのファームウェア、タッチスクリーン搭載

ハードウェアウォレットの秘密鍵はインターネットに接続されないため、万が一パソコンが乗っ取られても資産を盗まれることはありません。

資産の分散

すべての卵を一つのカゴに入れないでください：

日常の取引：Binanceのアカウントに残す（総資産の10〜20%）
中長期の保有：自身のWeb3ウォレットへ送金（30〜40%）
長期の保管：ハードウェアウォレットへ送金（40〜60%）

このようにすれば、Binanceアカウントが突破されたとしても一部の損失で済みますし、ハードウェアウォレットの資産が遠隔で盗まれることはほぼ不可能です。

プラスアルファ：API keyのセキュリティ

自動取引にAPIを使用している場合、API keyの安全性は非常に重要です。

API key作成時の注意点

IPホワイトリストのバインド：自分のサーバーのIPからのみAPI呼び出しを許可する
出金権限を無効にする：業務上必須でない限り、API keyには出金権限を与えない
送金権限を無効にする：レバレッジや先物の送金権限は必要に応じて付与する
定期的なローテーション：3〜6ヶ月ごとに古いキーを削除し、新しいものを生成する

API key漏洩時の対応

API keyの漏洩（GitHubに誤ってコミットした、トロイの木馬で盗まれたなど）に気づいた場合：

直ちに「アカウント → API管理」で該当するキーを削除する
過去30日間のAPI呼び出しログを確認する
不正な呼び出しがあれば、すぐにアカウントを凍結しカスタマーサポートに連絡する

やってはいけないこと

絶対にやってはいけないこと

❌ 複数の暗号資産プラットフォームで同じパスワードを使い回す（1箇所で漏洩するとすべて破られます）
❌ 2FAの復元キーをスクリーンショットしてスマートフォンの写真フォルダに保存する
❌ ニーモニック（リカバリーフレーズ）を電子デバイス上に保存する
❌ 「Binanceサポート」からの電話に応答し、指示に従って操作する
❌ 「Binance」からのメール内のリンクをクリックしてアカウントにログインする（常にブックマークからログインしてください）
❌ 公共のWi-Fiでアカウント操作を行う
❌ 信頼できないパソコンでアカウントとパスワードを入力する
❌ 誰に対しても（最も身近な家族であっても）ニーモニックを教える

慎重に使うべきこと

⚠️ SMS 2FA（Google Authenticatorの代替として）
⚠️ ブラウザのパスワード自動入力（フィッシングサイトに盗まれやすい）
⚠️ サードパーティ製ウォレットにBinanceアカウントのニーモニックをインポートする（Binance取引所アカウントにはニーモニックは存在しません。入力を求める「Binance」は間違いなく偽物です）
⚠️ サードパーティ製の「アカウント管理ツール」

セキュリティチェックリスト

月に1回、10分間だけ自己点検を行ってください：

[ ] デバイスリストに見知らぬデバイスはないか
[ ] 直近のログイン履歴はすべて自分自身によるものか
[ ] 出金ホワイトリストのアドレスはすべて把握しているものか
[ ] Google Authenticatorが正常に機能しているか
[ ] 2FAの復元キーの紙は金庫など安全な場所にあるか
[ ] アンチフィッシングコードを正しく覚えているか
[ ] メールアドレス自体のパスワードが他のサイトと使い回されていないか
[ ] メールアドレス自体にも2FAを設定しているか
[ ] 高額の資産はハードウェアウォレットに分散しているか
[ ] 操作パスワードがログインパスワードと異なっているか

10分間でこれらを完了させれば、アカウントのセキュリティはプロ並みの水準に保たれます。

よくある質問

問：2FAを有効にしていても乗っ取られることはありますか？ 答：ごく少数ですがあり得ます。よくあるのは、フィッシングサイトでパスワードと2FAコードの両方を入力させられるケース（中間者攻撃）です。対策としては、必ずブックマークからログインし、アドレスバーのドメインを確認することです。

問：スマートフォンを紛失した場合、Google Authenticatorはどうやって使えばいいですか？ 答：スマートフォンの紛失＝そのデバイスでの2FAの無効化を意味します。復元キーを紙にメモしていれば、新しいスマートフォンのGoogle Authenticatorにそれを入力するだけで復旧できます。メモしていない場合は、2FAリセットの申立て手続きが必要です。

問：アンチフィッシングコードは変更できますか？ 答：可能です。「アカウント → セキュリティ → アンチフィッシングコード」から再設定できます。6〜12ヶ月ごとに変更することをお勧めします。

問：ホワイトリストのクールダウン期間はスキップできますか？ 答：できません。これは設計上の強力な制約であり、そのこと自体がセキュリティの価値となっています。新しいアドレスに急いで出金したい場合は、48時間前にホワイトリストに追加しておく必要があります。

問：API keyの出金権限を無効にすれば完全に安全ですか？ 答：やはり注意が必要です。出金権限がなくても取引の注文は可能なため、攻撃者は「両建て取引（自身が管理するマイナーなコインを高値で買い、安値で売る注文を同時に出す）」を通じて資産を吸い上げる可能性があります。最も安全なのは、IPホワイトリストと定期的なローテーションを組み合わせることです。

問：メールアドレスが乗っ取られた場合、どのくらい深刻ですか？ 答：非常に深刻です。メールアドレスはBinanceアカウントの主要なログイン手段の一つであり、攻撃者はメールにアクセスできれば「パスワードを忘れた場合」の手続きでパスワードをリセットできてしまいます。そのため、メールアドレス自体にも2FAを導入し、独立したパスワードを使用する必要があります。

問：ハードウェアウォレットはどれを選べばいいですか？ 答：初心者にはLedger Nano S Plus（コストパフォーマンスが最高）、オープンソースを重視するならTrezor Model T、スマートフォンとBluetoothで接続したいならLedger Nano Xがお勧めです。必ず公式ルートで購入し、中古品やサードパーティの店舗からは買わないでください。

問：すべての設定を有効にすると、操作が面倒になりませんか？ 答：日常の操作は、ログイン時に2FAを入力する（5秒）以外は変わりません。新しいアドレスに出金する際に24時間待つ必要がありますが、このような操作は月に1回あるかないかです。少しの手間で真の安全が手に入るので、絶対に設定する価値があります。

まとめ

Binanceアカウントの防犯の中核は、Google Authenticatorによる2FA（SMSの代替）、アンチフィッシングコード、出金ホワイトリスト（24〜48時間のクールダウン）、デバイス管理と異常ログイン通知の4つの必須設定です。設定は約30分で完了し、攻撃手口の95%以上をカバーできます。さらに、高額資産はハードウェアウォレットで物理的に隔離し、（APIを使用する場合は）API keyのIPホワイトリストを加えれば、プロレベルのセキュリティ環境が完成します。月に1回、10分の自己点検を行うことで、アカウントが乗っ取られる可能性はほぼなくなります。