Binance API keyが漏洩した場合の対処法。緊急凍結の手順

更新日 2026-04-14 · 14 分セキュリティ

BinanceのAPI keyが漏洩した場合、最初のステップはアプリ内ですぐにそのキーを削除することです（5秒で完了し、世界中で即時有効になります）。その後、直近のAPI呼び出しログを確認して不正利用の記録を見つけ、アカウントのパスワードを変更し、今後のAPIセキュリティ設定を強化します。APIの悪用によって失われた資金を取り戻せる可能性は、アカウント全体が乗っ取られた場合よりは少し高いです。なぜなら、攻撃者は直接出金するのではなく、両建て取引による裁定取引（アービトラージ）を行うことが多いからです。アカウント操作の前に、まずはBinance公式サイトで本人確認を行ってください。APKはBinance公式アプリから取得し、全プラットフォームの手順についてはダウンロードセンターをご覧ください。本記事では、完全な対応手順を解説します。

API keyとは何か

BinanceのAPI keyは、プログラムが自動でアカウントを操作するための「鍵」です。

API key（公開鍵）：ユーザーの身元を識別します。
API secret（秘密鍵）：リクエストへの署名に使用します。
これらを組み合わせて使用することで、BinanceのAPIを通じて取引、照会、注文などの操作が可能になります。

APIは通常、以下のような用途で使われます：

自動取引プログラム（クオンツ取引）
サードパーティ製の帳簿・ポートフォリオ管理ツール
複数アカウントの管理ツール
自動化された取引戦略（グリッド取引やアービトラージなど）

API keyが漏洩する経路

漏洩がよく発生するシナリオは以下の通りです：

シナリオ	発生確率
誤ってGitHubにコミットしてしまった	高
secretが含まれたスクリーンショットを共有した	中
ブログのコード例にそのまま書いてしまった	中
ネットワークの傍受（安全でないWi-Fiの使用など）	低
プログラムのログから漏洩した	中
サードパーティ製のツールがハッキングされた	中

GitHub上には、漏洩したAPI keyを自動で探し出してアクセスを試みる「機密データスキャン」ボットが大量に巡回しています。そのため、secretが含まれたコードをGitHubに公開すると、数分以内に攻撃を受ける可能性があります。

漏洩後の緊急対応

ステップ1：API keyを直ちに削除する（最も重要）

5秒以内に実行してください。操作は世界中で即座に反映されます：

Binanceアプリを開きます。
「マイページ → 設定 → API管理」に進みます。
漏洩したAPI keyを見つけます。
「削除」をタップします。
2FAによる認証を行います。

削除後、そのキーは直ちに無効化され、攻撃者はあなたのアカウントを操作できなくなります。

ステップ2：直近のAPI呼び出しログを確認する

「API管理 → 該当のキー → 呼び出しログ」を開きます。
過去24〜72時間のすべての履歴を確認します。
以下のような不審な呼び出しがないか探します：
- 見知らぬIPからの呼び出し
- 異常な取引（高額取引、大きな損失を伴う取引）
- 身に覚えのない出金リクエスト

ステップ3：資産の損失を確認する

現物ウォレットの残高が減っていませんか？
先物のポジションが勝手に決済（強制ロスカット）されていませんか？
承認していない出金履歴はありませんか？
アカウント内での異常な資金移動（内部送金）はありませんか？

ステップ4：アカウントのパスワード変更と2FAのリセット

もし漏洩したAPI keyと一緒に行っている他の機密情報も流出した可能性がある場合は：

アカウントのログインパスワードを変更します。
Google Authenticatorをリセットします（認証システムのセットで漏洩したのを防ぐため）。

ステップ5：カスタマーサポートへの報告

アプリの「カスタマーサポート → API悪用申立て」を開きます。
以下の情報を提供します：
- 漏洩したAPI key（最初の8文字）
- 呼び出しログのスクリーンショット
- 失われた資産の詳細
- あなたがすでに講じた対応

ステップ6：漏洩元を特定する

API keyがどのようにして漏洩したのかを突き止めます。
根本原因を解決します（GitHubの公開リポジトリから削除する、スクリーンショットを取り下げるなど）。
他の機密情報が一緒に漏洩していないかも確認します。

API攻撃のよくある手口

1. 直接出金（最も直接的）

もしあなたのAPI keyに「出金」権限が与えられていた場合：

攻撃者はAPIを使って自分のウォレットへの出金リクエストを出します。
資金はそのまま転送されます。

予防策：業務上どうしても必要な場合を除き、API keyの**「出金権限」は絶対に無効にしておく**こと。

2. 両建て取引によるマネーロンダリング

より巧妙で発覚しにくい手口です：

攻撃者はあなたのAPIを使い、流動性の低いマイナーなコインを高値で買う注文を出します。
同時に、攻撃者は自分自身のアカウントでそのコインを安く売る注文を出します。
両者の注文をマッチングさせることで、あなたのUSDTを攻撃者のアカウントへと吸い上げます。
あなたの目には単なる「トレードによる損失」に映りますが、実際には資金洗浄されています。

予防策：

トレードに使用しないのであれば、API keyの「現物取引」権限を無効にする。
定期的にアカウントの取引履歴を監視する。

3. 高頻度の少額注文による消耗

攻撃者はAPIを使って高頻度で少額の注文を繰り返します。
故意に損失を出すようなトレードを続け、あなたのアカウント残高を少しずつ減らしていきます。
直接資金を移動させるわけではありませんが、積み重なると大きな損失になります。

予防策：

API呼び出し頻度のアラートを設定する。
取引の統計情報を定期的にチェックする。

4. レバレッジや先物での強制ロスカット

APIに先物取引の権限が与えられている場合：

攻撃者は100倍のレバレッジでポジションを持ちます。
わざと不利な方向へ取引を行います。
あなたのアカウントを強制ロスカットに追い込みます。

予防策：

APIの先物取引権限を無効にする。
先物アカウントに必要以上の高額な資金を置かない。

資産を取り戻せる可能性

攻撃の種類	取り戻せる確率	備考
オンチェーン出金	5%未満	不可逆的なため
両建て取引による資金洗浄	30〜50%	相手アカウントを凍結できる可能性がある
内部送金	50〜70%	カスタマーサポート側で凍結可能
先物でのロスカット	10%未満	市場における損失として確定してしまうため

APIの悪用は、アカウント全体が直接乗っ取られるケースに比べれば取り戻せる確率がやや高いです。理由は以下の通りです：

多くのAPI攻撃は両建て取引であり、資金がBinanceのシステム外へ流出していないため。
カスタマーサポートが取引相手のアカウントを凍結できるため。
オンチェーンの証拠ではなく、プラットフォーム内部の証拠が完璧に残っているため。

しかし、過度な期待は禁物です。「取り戻すこと」よりも「予防すること」の方がはるかに容易です。

API key作成時のセキュリティベストプラクティス

1. IPホワイトリストのバインド（最も重要）

API keyを作成する際、「IPホワイトリストを有効にする」にチェックを入れます：

指定したIPアドレスからのみ、このキーの呼び出しを許可します。
万が一キーが漏洩しても、攻撃者が別のIPから操作することはできません。
ご自身のサーバーのIPが固定されている場合は、必ず設定してください。

※IPホワイトリストは固定IPでのみ利用できます。動的IP（一般的な家庭用ブロードバンド）の場合は設定しなくても利用できますが、その分リスクは高まります。

2. 不要な権限を無効にする

API keyにはいくつかの権限オプションがあります：

現物 / マージン取引：必要に応じて有効化
先物取引：必要に応じて有効化（高リスク）
汎用出金：デフォルトで無効（業務上必須の場合のみ有効化）
内部送金：必要に応じて有効化

最小権限の原則に従い、本当に使う機能だけをオンにしてください。

3. 定期的にローテーションする

3〜6ヶ月のサイクルで以下の作業を行います：

古いAPI keyを削除する。
新しいキーを生成する。
利用しているプログラム内の設定を更新する。

これにより、漏洩したキーが長期間にわたって悪用されるのを防ぎます。

4. パブリックリポジトリにコミットしない

ソースコードのバージョン管理を行う場合：

API keyは.envファイルに保存します。
.gitignoreに.envを追加して管理対象から外します。
コード内では環境変数経由で読み込みます。

コードの中に直接ハードコーディングすることは絶対に避けてください。

5. 呼び出しログを監視する

定期的（毎週または毎月）、APIの呼び出しログを確認します：

予期したIPからのアクセスか？
呼び出し頻度は正常か？
おかしな時間帯にアクセスされていないか？

異常を発見した場合はすぐに対応してください。

6. アラートを設定する

一部のクオンツ取引プラットフォームでは、アラート機能がサポートされています：

APIの呼び出しが一定のしきい値を超えた場合のアラート
見知らぬIPからアクセスされた場合のアラート
一定金額以上の取引が発生した場合のアラート

API keyの種類の選択

Binanceでは2種類のAPI keyが提供されています：

1. HMAC SHA-256（デフォルト）

生成が早い
互換性が高い
多くのプログラムでサポートされている
欠点：秘密鍵（secret）を保管する必要がある

2. Ed25519 公開鍵認証

より安全
秘密鍵はローカルでのみ生成され、ネットワーク上を送信されない
最新の一部のツールが対応している
欠点：互換性が少し劣る

最新のクオンツツールを使用している場合は、より安全なEd25519を優先して選んでください。

サードパーティ製ツールのリスク

API keyをサードパーティ製のツール（帳簿アプリ、ポートフォリオ管理アプリ、自動売買プラットフォームなど）に登録する場合：

リスク

サードパーティがハッキングされ、あなたのAPI keyが盗まれる。
サードパーティの従業員が悪意を持ってあなたの資金を抜き取る。
サードパーティのサービスが突如閉鎖され、API keyのデータが持ち逃げされる。

対策

サードパーティへ渡すAPI keyは、必ず「出金権限」を無効にすること。
3CommasやBitsgapなど、実績と評判のある有名なツールを選ぶこと。
サードパーティツールのアクセスログを定期的に確認すること。
そのツールを使わなくなった場合は、Binance側で速やかに該当するAPI keyを削除すること。

よくある質問

問：API keyを削除すると、どのくらいで反映されますか？ 答：即座に反映されます（世界中のサーバーで秒単位で反映）。削除した瞬間から、そのキーを使ったいかなるリクエストも拒否されるようになります。

問：完全に削除するのではなく、一時的に無効化することはできますか？ 答：可能です。「API管理」の画面に「有効/無効」のスイッチがあります。無効にすると即座にアクセスできなくなり、必要になった時に再び有効化できます。

問：API keyが漏洩しましたが、まだ資産が減っていません。それでも対応が必要ですか？ 答：直ちに削除する必要があります。攻撃者はあなたのアカウントの状況を分析し、最も効果的に攻撃できるタイミングを待っている可能性があるためです。

問：APIを使った自動売買で損失が出ました。これは攻撃されたと言えますか？ 答：具体的な原因によります。自分自身で設定した戦略による損失であれば、通常のトレードリスクです。見知らぬ第三者によってAPIが悪用されたのであれば、攻撃を受けたことになります。判断の決め手は、呼び出しログのIPアドレスを確認することです。

問：API keyで「少額の注文しかできない」ように制限をかけることはできますか？ 答：直接金額を制限することはできませんが、以下のような対策があります：①IPホワイトリストを設定する、②出金権限を無効にする、③一部のツールが対応している1日の取引上限額設定を利用する。

問：自動売買プログラムでの損失について、Binanceのサポートに補償を求められますか？ 答：できません。Binanceが提供しているのはあくまでツール（API）であり、そのツールを利用した独自の戦略から生じるリスクはすべてユーザー自身の自己責任となります。

まとめ

BinanceのAPI keyが漏洩した場合は、**「5秒以内にキーを削除すること」**が最も重要な操作です（全世界で即時反映）。その後、呼び出しログの確認、パスワードの変更、カスタマーサポートへの連絡を行います。**APIの悪用による資産回収率は30〜50%であり、直接アカウントを乗っ取られた場合（5%未満）よりは高いです。これは、多くの攻撃が直接出金ではなくプラットフォーム内での両建て取引であるためです。最も重要なのは事前の予防です。API keyを作成する際は、「IPホワイトリストのバインド」と「出金権限の無効化」、「最小権限の付与」**を必ず行い、3〜6ヶ月ごとにキーを更新し、公開リポジトリには絶対にコミットせず、定期的にログを監視してください。サードパーティ製ツールに渡すキーについても、権限（特に出金）は厳しく制限してください。