一言で答える:ダウンロードファイルのハッシュを計算し、公式が公開する文字列と一字一句比較する
Binance公式サイトAPKをダウンロードした後、理論上もう一つの「保険スイッチ」があります——ファイルのSHA256値を検証することです。計算したハッシュが公式公示と完全に一致すれば、このファイルが途中で誰かに置換、注入、再パッケージされていないことを100%確認できます。これはアンチフィッシング、アンチマルウェア同梱の最もハードコアで最も簡単な方法です。新規ユーザーはまずバイナンスアカウントを開設後、バイナンスアプリをダウンロードして本記事に従って検証を練習してください。
なぜAPK検証に30秒かける価値があるのか
アプリストア外の世界には強い検証がない
Google PlayとGalaxy Storeの内部には署名照合メカニズムがあるため、これら2つのストアからインストールしたアプリは置換される可能性は低いです。しかし公式サイトAPKはユーザーがブラウザから直接ローカルに引き出すもので、リンク上の任意のルーター、CDNノード、ISPハイジャックが攻撃の入口になり得ます。ハッシュ検証はこのリンクの終点に検証を追加することです。
フィッシングサイトは肉眼で見分けがつかない
フィッシングサイトの視覚模倣はますます精巧になり、SSL証明書すら取得できます。しかし彼らは公式と完全に一致するSHA256を偽造できません——ファイルが1バイトでも多ければ、ハッシュは完全に異なります。
1回の検証は数秒
自分のPCでハッシュを実行する方がアンチウイルスソフトのインストールより速いです。1度学べば一生使え、検証フローはすべてのAPK、ISO、DMGファイルに通用します。
SHA256とは
SHA256はハッシュ関数で、任意のサイズのファイルを固定長(64文字の16進数)の文字列に圧縮します。その重要な特性は:オリジナルファイルが1ビット変わるだけで、出力ハッシュが完全に変わります。同時に異なるファイルが同じハッシュを計算することは不可能(実際の衝突確率は極めて低い)。
例:正規のBinance APKのSHA256はこのような見た目:
8a2f4b...(64文字)
誰かが再パッケージし、広告SDKを追加し、アイコンを変更し、再計算しても、公式とは一致しません。
ステップ1:公式ハッシュを取得
公式公示はどこで見るか
- ブラウザでBinance公式サイトのダウンロードページを開く(ドメインスペル注意)。
- APKダウンロードボタンの近くに通常「検証情報」または「SHA256」の折りたたみエリアがある。
- 64文字のハッシュ文字列をコピーしてメモ帳に保存。
「フィッシングサイトが提供するハッシュ」にも注意
ダウンロードしたAPK自体がフィッシングサイトから来た場合、そのサイトが提供するハッシュも偽物で、一致しても無意味。だから前提は:APKリンクとハッシュが両方とも同じ、本物の公式ドメインから来ること。第二のクライアント(スマホ4G、別の既知のクリーンPC)を同時に開いて公式ドメインの一致を再確認できます。
ステップ2:ローカルでファイルハッシュを計算
Windows 11 / 10でPowerShellを使用
Win + Xを押してWindows Terminalを開き、APKのあるディレクトリに入って実行:
Get-FileHash -Algorithm SHA256 .\binance.apk
Enter後1〜2秒でHashフィールドが出力され、この文字列を公式ハッシュと比較します。注意:PowerShellの出力は大文字、公式は小文字を提供する場合があり、これはフォーマットの違いで内容の違いではありません。
Windowsコマンドラインでcertutil
PowerShellを使いたくない場合:
certutil -hashfile binance.apk SHA256
出力には連続した64文字の1行が含まれ、それがハッシュです。
macOSでshasum
ターミナルを開きダウンロードディレクトリに入る:
shasum -a 256 binance.apk
出力は<ハッシュ値> binance.apkの2セグメントで、前のセグメントが比較する内容です。
Linuxでsha256sum
sha256sum binance.apk
出力フォーマットはmacOSと同様です。
Androidスマホで直接計算
APKがすでにスマホにダウンロードされ、PCに接続するのが不便な場合、オープンソースの「Hash Droid」または「Hash Checker」系アプリをインストール(信頼できるストアから評価の高いものを選ぶ)し、次のように:
- Hashツールを開く → ファイルを選択。
- ダウンロードディレクトリのbinance.apkを見つける。
- アルゴリズムでSHA256を選択。
- 開始をタップ、数秒でハッシュ出力。
ステップ3:人の目で比較
目視比較は禁物
64文字を肉眼で見ると文字を見逃します。正しいやり方は公式ハッシュとローカルで計算したハッシュを同じテキストボックスに貼り付け、揃えて一字一句違わないか見ること。
ツールで自動比較
Windowsユーザーはこう書けます:
"<公式ハッシュ>" -eq (Get-FileHash -Algorithm SHA256 .\binance.apk).Hash
出力Trueなら一致、Falseなら不一致。
macOS / Linux:
echo "<公式ハッシュ> binance.apk" | shasum -a 256 -c
OKまたはFAILEDが表示されます。
ステップ4:不一致の場合
直ちにインストールを停止
ハッシュが合わないということは、ファイルが改ざんされたかダウンロード途中でエラーがあったということ。もう一度開こうとしないでください。まずファイルをダウンロードディレクトリから隔離フォルダに移し、誤クリックを避けてください。
可能な原因を特定
- 公式APKを再ダウンロードして検証。両回とも一致しない場合 → リンクハイジャック、ネットワーク切替(4G/VPN/ISP変更)後再試行
- 公式サイトドメインスペルの確認:多くの人が1文字を打ち間違えてフィッシングサイトに入る
- ブラウザに「アクセラレーター」「翻訳」拡張機能がインストールされているか、時にダウンロード内容を変更する場合がある
サンプルを報告
改ざんされたAPKをダウンロードしたことを確認したら、Binance公式カスタマーサポートに報告し、公式がフィッシングサイトを追跡できるようにします。絶対に安全でないデバイスで開かないでください。
同期署名検証(高度)
SHA256は完全性のみを検証でき、発行者を直接証明できません。さらに進んでAPKのデジタル署名指紋を検証できます。
keytoolコマンドを使用
JDK付属のkeytoolはAPK内の署名証明書を読めます:
keytool -printcert -jarfile binance.apk
出力にはSHA256 fingerprintがあり、これは署名証明書の指紋(ファイルSHA256とは異なる概念)。この指紋を公式公示の署名指紋と比較すれば、APKがBinanceの秘密鍵で署名されたことを確認できます。たとえ外層を再パッケージされても、署名は無効になるか指紋が一致しなくなります。
apksigner
Android SDKツールのapksignerでも検証できます:
apksigner verify --print-certs binance.apk
Verifies出力なら署名有効。2つの検証を組み合わせると偽造の難度はほぼ不可能になります。
よくある質問
検証済みのAPKをインストール途中でネットワークが切れた、再インストール時に再検証が必要ですか
不要。インストール途中の切断はAPKファイル自体を変更しません。ファイルがダウンロードディレクトリにあり、ハッシュが一致したままなら、そのままインストールを続行できます。
スマホですでに使っている古いバージョンのアプリ、どう検証しますか
公式サイトからインストールした場合、ADBでAPKを引き出して再度ハッシュ計算できます。もっと簡単な方法は、SHA256で公式サイトの最新APKを検証してから上書きインストールすること。前後バージョンが一致すれば完全性も同時に検証されます。
MD5とSHA256のどちらを選びますか
優先SHA256。MD5には衝突リスクがあることが証明されており、攻撃者は理論上異なるファイルだが同じMD5のバージョンを構築できます。SHA256は現在実行可能な衝突攻撃がありません。
ハッシュ一致なら100%安全ですか
ハッシュ一致はファイルが改ざんされていないことしか証明できず、あなたが取得した公式ハッシュ自体が本物であることが前提です。だから公式サイトドメインの確認、HTTPS証明書の確認は省けません。両層を一緒に行ってこそ完全です。
スマホ内で直接ハッシュ検証できますか
可能。前述のHash Droid、Hash Checkerはローカルハッシュ計算をサポートし、オフラインでも検証可能。APKをサーバーにアップロードしません。
まとめ
SHA256検証は多くの人が見過ごすが、極めて身につける価値のある習慣です。ダウンロード → 検証 → インストールの3歩を完了すると、フィッシング版に騙される確率はほぼゼロになります。慣れたら全工程は1分かからず、しかし資産入口の最も重要な扉を守れます。
今すぐ始める
準備はできましたか?今すぐバイナンスに登録して、専用の手数料割引を受けましょう。
またはバイナンスアプリをダウンロードして、いつでもどこでも資産を管理できます。