自分のBinanceアカウントに他人がログインしていた、さらには資産が送金されていた――そんな事態に直面したら誰でもパニックになります。しかし慌てても解決しません。正しい対処を素早く行うほど、被害を最小限に抑えられる可能性が高まります。今回はアカウントの不正アクセスを発見した後の対処法をステップごとに解説します。まだアカウントをお持ちでない方は、Binance登録で作成する際に最初からセキュリティ設定を万全にしましょう。すでにアカウントをお持ちの方は、BinanceアプリをDLした後すぐにセキュリティ設定を確認してください。
乗っ取りを発見した直後にやるべきこと
時間は文字通りお金です。以下のステップを優先順位に従って実行してください。
ステップ1:アカウントを直ちに凍結する。Binanceアプリまたはウェブサイトを開き、セキュリティ設定で「アカウントの無効化」オプションを見つけてください。まだログインできる場合は、すぐに無効化をクリックします。これにより、すべての取引・出金機能が停止されます。すでにログアウトされている場合は、Binanceからのセキュリティアラートメールにワンクリック凍結リンクがあります。
ステップ2:パスワードを変更する。メールの認証コードがまだ受信できる場合は、「パスワードを忘れた」プロセスですぐにパスワードをリセットしてください。新しいパスワードは旧パスワードとまったく異なるものにしましょう。1〜2文字だけ変えるのでは不十分です。
ステップ3:資産を確認する。ログイン後、口座残高、ポジション、出金履歴を確認します。身に覚えのない取引や出金がないか探してください。
ステップ4:カスタマーサポートに連絡する。Binanceアプリのライブチャットを利用するか、ウェブサイトのサポートページからチケットを送信してください。発見した時間や異常な操作など、状況を詳しく説明しましょう。
アカウントが乗っ取られたかどうかの判断方法
いくつかの典型的なサインがあります。
Binanceから身に覚えのない場所からのログインアラートメールが届いた。自分が行っていない取引記録がある(不明な売買など)。自分が開始していない出金記録がある。パスワードや紐付けメールが変更されている。Google Authenticatorが突然機能しなくなった。
これらのいずれかが発生した場合は、上記の手順を直ちに実行してください。
送金された資産は取り戻せるのか
誰もが最も気になるが最も向き合いたくない問題です。正直に言うと:
資産がすでに外部ウォレットに出金されている場合、回収の可能性は非常に低いです。ブロックチェーン上の取引は確認されると不可逆です。ただし、Binanceが以下の状況で協力できる可能性があります。
出金がまだ処理中で確認が完了していない場合、Binanceが遮断できる可能性があります。資産が別のBinanceアカウントに送金された場合(内部送金)、Binanceは追跡して相手のアカウントを凍結できます。大きな金額が関わっている場合、警察に届け出ることができ、Binanceは法執行機関の調査に協力します。
したがって、資産が送金されたとしても諦めないでください。報告しましょう。
アカウントが乗っ取られる一般的な原因
なぜ起きたかを理解することが再発防止の鍵です。
フィッシングサイト:偽のBinanceサイトでパスワードを入力してしまった可能性があります。偽サイトは検索エンジンの広告、フィッシングメール、SNSのリンクなどで誘導されます。
パスワード漏洩:他のサイトでBinanceと同じパスワードを使っており、そのサイトがデータ漏洩に遭った。
スマホのマルウェア:非公式ソースからダウンロードしたアプリにトロイの木馬が含まれ、ログイン情報や認証コードが盗まれた。
SIMカードの複製:SMS認証コードを使用している場合、SIMスワップ攻撃でメッセージが傍受される可能性があります。
ソーシャルエンジニアリング:Binanceのサポートを装って、アカウント情報を聞き出したり、悪意あるリンクをクリックさせたりする。
乗っ取りを防ぐ方法
以下の対策を講じることで、リスクを大幅に低減できます。
Google Authenticator(2FA)を有効にする。最も基本的で効果的な保護です。パスワードが漏洩しても、Authenticatorの6桁のワンタイムコードがなければログインできません。
フィッシング対策コードを設定する。セキュリティ設定で自分だけが知るフレーズを設定します。以降、Binanceからのすべてのメールにこのフレーズが含まれます。含まれていないメールは偽物です。
独自のパスワードを使用する。Binanceのパスワードを他のサイトで使い回さないでください。パスワードマネージャーで複雑なパスワードを生成・保管することをお勧めします。
出金ホワイトリストを有効にする。事前に承認したアドレスにのみ出金を許可し、新しいアドレスには24時間のクーリング期間を設けます。これにより、アカウントに侵入されても即座に資金を移動できません。
ログイン履歴を定期的に確認する。Binanceのセキュリティ設定で最近のログインデバイスとIPアドレスを確認し、異常があれば即座に対処してください。
公式チャンネルからのみBinanceアプリをDLしてください。サードパーティサイトからダウンロードしないでください。
乗っ取り後の長期的なセキュリティ強化
アカウントの制御を取り戻した後も、一連のセキュリティ強化が必要です。
完全に新しい強力なパスワードに変更する。新しいGoogle Authenticatorを紐付け、古いバックアップキーをすべて無効にする。認識できないログインデバイスをすべて確認・削除する。APIキーを確認し、自分が作成していないものは即座に削除する。出金アドレスホワイトリストを有効にする。新しいフィッシング対策コードを設定する。Binance登録で作成されたアカウントのセキュリティは、すべて自分自身の管理にかかっています。
よくある質問
Binanceのサポートからパスワードを聞かれることはありますか? 絶対にありません。Binanceサポートの名前でパスワード、認証コード、送金を要求する者はすべて詐欺師です。
Google Authenticatorを有効にしていても乗っ取られることはありますか? リスクは大幅に低下しますが、100%ではありません。スマホ自体にマルウェアが感染している場合、Authenticatorのワンタイムコードも傍受される可能性があります。そのため、スマホのセキュリティも同様に重要です。
乗っ取り後にBinanceは補償してくれますか? 通常はありません。Binanceの利用規約では、ユーザー自身のセキュリティ管理不足による損失はユーザーの責任とされています。予防は事後対応よりもはるかに重要です。
警察に届け出る価値はありますか? あります。資産回収の可能性は高くありませんが、警察の記録はその後の調査の根拠となります。大きな金額の場合、法執行機関はBinanceと協力して資金の流れを追跡できます。
セキュリティ注意事項
Binanceアカウントの保護はすべてのユーザーの責任です。利用可能なすべてのセキュリティ認証方式を有効にし、独自の強力なパスワードを使用し、フィッシングリンクや偽のサポートに注意し、定期的にアカウントのアクティビティログを確認してください。セキュリティ設定に10分余分に費やすことで、すべての資産を守れる可能性があります。