近年、SIMスワップ攻撃がますます増加しています。電話番号を乗っ取られた結果、アカウントの資産をすべて持ち去られたという仮想通貨ユーザーも少なくありません。怖い話に聞こえますが、事前にしっかり対策を取っておけば、リスクを最小限に抑えることができます。今日は、Binance公式サイトでSIM関連のセキュリティ設定を正しく行う方法を分かりやすくお伝えします。いつでも操作できるようBinance公式アプリのダウンロードをおすすめします。iPhoneユーザーはiOSインストールガイドをご参照ください。
SIMスワップ攻撃とは
まず、SIMスワップとは何かを説明しましょう。簡単に言えば、悪意のある第三者がさまざまな手口(キャリアのカスタマーサポートへのソーシャルエンジニアリングや身分証明書の偽造など)を使って、キャリアにあなたの電話番号を新しいSIMカードに移転させるというものです。そうなると、あなたの元のSIMカードは圏外になり、あなたの電話番号宛てに送られるSMS認証コードはすべて攻撃者の手に渡ります。
Binanceと何の関係があるのかと思うかもしれません。実は大いに関係があります。BinanceアカウントでSMSベースの二段階認証を使っていて、他の保護手段がない場合、攻撃者は傍受した認証コードを使ってログインし、パスワードを変更し、出金まで行えてしまいます。
実際の事例
私の友人が昨年まさにこの被害に遭いました。ある日突然スマホが圏外になり、キャリアの問題かと思って問い合わせたところ、SIMが再発行されていたことが判明。気づいた時には、BinanceアカウントのUSDTの大半がすでに送金されていました。調査の結果、偽造した身分証明書を使ってキャリアの店舗でSIMを再発行した者がいたことが分かりました。
冗談では済まない話です。しっかり対策しましょう。
ステップ1:SMS認証をより安全な方法に切り替える
これが最も重要なステップです。SMS認証は電話番号に依存しており、その電話番号は「盗まれる」可能性があるため、本質的に安全ではありません。
Google認証システムを有効にする
- Binanceアプリを開き、右下の「プロフィール」をタップ
- 「セキュリティ」を探す
- 「Google認証」をタップ
- 案内に従ってGoogle Authenticatorアプリをダウンロード
- QRコードをスキャンして連携
- 必ずシークレットキーをバックアップしてください — 紙に書いて安全な場所に保管
Google認証を有効にすると、ログインや出金のたびに30秒ごとに更新されるワンタイムコードの入力が必要になります。このコードはデバイス上でローカルに生成され、電話番号とは一切関係がないため、SIMが盗まれても役に立ちません。
SMS認証を無効にする(または権限を下げる)
Google認証を設定した後、セキュリティ設定でSMS認証の権限を下げられるか確認してください。例えば、出金時にはGoogle認証+メール認証のみにしてSMS認証を不要にすることができます。こうすれば、電話番号が乗っ取られても何もできません。
Binance公式サイトのセキュリティ設定ページで簡単に調整できます。
ステップ2:出金ホワイトリストを設定する
非常に重要な機能ですが、知らない方も多いです。
- セキュリティ設定で「出金ホワイトリスト」を見つける
- 機能を有効にする
- 普段使う出金アドレスを追加する
有効にすると、ホワイトリストに登録されたアドレスにのみ出金できます。万が一アカウントが乗っ取られても、新しいアドレスを追加するには24時間のクールダウン期間が必要で、さらにメール通知が届くため、不正送金を防げます。
資産に「二重ロック」をかけるようなもので、非常に実用的です。
ステップ3:フィッシング対策コードを有効にする
Binanceには「フィッシング対策コード」という機能があります。自分だけが知る秘密の言葉を設定すると、Binanceから届くすべてのメールにその言葉が表示されます。Binanceを名乗るメールを受け取ったのにこのコードがなければ、偽物です。
設定方法:
- セキュリティ設定に移動
- 「フィッシング対策コード」を見つける
- 覚えやすいけれど他人には推測できない言葉を設定
この機能はフィッシングメールの識別に役立ちます。フィッシングメールはSIMスワップ攻撃の前段階であることが多く、攻撃者はまずフィッシングでパスワードを入手し、次にSIMスワップで認証コードを手に入れます。
ステップ4:電話番号にロックをかける
Binance側の対策に加えて、キャリア側のセキュリティも強化する必要があります。
キャリアに連絡してPINを設定する
ほとんどのキャリアでは、SIMカードにサービスパスワードやPINコードを設定できます。設定後は、SIMの再発行やMNPなど、電話番号に関するあらゆる操作でこのパスワードの確認が必要になります。
キャリアのSIMロック機能を有効にする
一部のキャリアには専用の「SIMセキュリティロック」機能があり、有効にすると、身分証明書を持っていても店舗でSIMの再発行ができなくなります。詳しい有効化方法はキャリアのカスタマーサポートに問い合わせてください。
電話番号をむやみに公開しない
当たり前のように聞こえますが、実行できていない方が多いです。Binanceに紐づけている電話番号で無関係なサイトに登録するのは避けましょう。それらのサイトから情報が漏洩すると、攻撃者があなたの情報をたどり着く可能性があります。
ステップ5:多要素認証の組み合わせを有効にする
Binance公式サイトのセキュリティ設定では、複数の認証方法の組み合わせを設定できます。推奨設定:
- ログイン認証:メール+Google認証
- 出金認証:メール+Google認証+顔認証
- パスワード変更:メール+Google認証
この多層防御の利点は、攻撃者が複数のチャネルを同時に突破する必要があるため、難易度が飛躍的に上がることです。
セキュリティに関する注意事項
以下のポイントを必ず守ってください:
- Google認証のバックアップキーはオフラインで保管(紙に書いて金庫に保管)。絶対にスクリーンショットを撮ってスマホの写真フォルダに保存しないでください
- スマホが突然圏外になった場合、すぐにキャリアに連絡してSIMの不正再発行がないか確認し、同時にBinanceにログインしてアカウントを凍結してください
- Binanceのログイン履歴とデバイス管理を定期的に確認し、不審な点があれば即座に対処してください
- 公共Wi-FiでBinanceにログインしないでください
- Binance公式が電話やSMSで認証コードを求めることは絶対にありません。そのような連絡が来たら即ブロックしてください
毎月のセキュリティチェックリスト
毎月5分かけて以下を確認しましょう:
- Google認証が正常に動作しているか
- 出金ホワイトリストに自分のアドレスしかないか
- 最近のログイン記録に不審なIPがないか
- フィッシング対策コードが有効になっているか
- キャリアのセキュリティ設定が正常か
この習慣をつければ、安心して過ごせます。
よくある質問
電話番号がすでに盗まれた場合はどうすればいいですか?
慌てないでください。すぐにキャリアに連絡して番号を一時停止し、パソコンからBinanceにログインしてセキュリティ設定でアカウントを凍結してください。凍結するとすべての操作が停止され、電話番号を復旧してから解除できます。資産がすでに移動されていた場合は、すぐにBinanceサポートに連絡し、警察にも届け出てください。
MVNOの番号はリスクが高いですか?
正直に言えば、リスクはやや高いです。MVNOのセキュリティ管理は大手キャリアほど厳格でない場合があります。可能であれば、Binanceに紐づける番号は大手キャリアのものに変更し、セキュリティ認証専用として他のサービスには登録しないことをおすすめします。
Google認証だけ使ってSMS認証なしなら安全ですか?
ほとんどの場合は安全ですが、メール認証も有効にすることをおすすめします。認証が一つ増えれば、保護も一層強化されます。GmailやOutlookなどの大手メールサービスを使い、メールアカウント自体にも二段階認証を設定しましょう。
BinanceはYubiKeyなどのハードウェアセキュリティキーに対応していますか?
はい!BinanceはFIDO2セキュリティキーに対応しています。YubiKeyなどのハードウェアキーをお持ちであれば、セキュリティ設定で追加できます。ハードウェアキーは現時点で最も安全な認証方式です。物理デバイスであるため、リモートからの不正アクセスは不可能です。
SIMスワップ攻撃は国内でも一般的ですか?
海外と比較すると、実名登録制度のおかげで日本ではSIMスワップ攻撃は比較的少ないですが、まったくないわけではありません。特にSNSで積極的に活動し、個人情報を多く公開している場合はリスクがあります。少し余分に時間をかけて対策を講じた方が、後悔するよりはるかに良いでしょう。