【偽Binance】「外部ウォレット連携」は詐欺!リカバリーフレーズを狙うスパムを解析
最近のスパム動向
暗号資産(仮想通貨)取引所を騙り、「資産保護」や「セキュリティ強化」を口実にして、ウォレットのリカバリーフレーズ(秘密の言葉)を盗み取ろうとする手口が非常に増えています。
今週のスパム傾向
今週は「ウクライナ情勢」や「サーバー攻撃」といった時事ニュースを悪用し、ユーザーの不安を煽るBinance(バイナンス)偽装メールの大量配信が確認されています。
このメールは「Binance」を装ったフィッシング詐欺です。
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
前書き
世界情勢の悪化を理由に「あなたの資産が危ない!」と駆け寄ってくるBinance。
ご丁寧に東欧のサーバー中断まで報告してくれますが、そもそも「12語のリカバリーフレーズ」を要求してくる時点で、親切を装ったただの泥棒です。
「すべての取引は匿名で行われます」なんて、詐欺師にとっては都合の良い言葉なんでしょうね。
では、詳しく見ていくことにしましょう。
メールの件名
件名:[spam] お客様の資産をより安全に保護するため、外部ウォレットとの連携をお願いいたします。
件名に [spam] が付与されています。
これは、送信元サーバーの信頼性が低い、あるいは本文中にフィッシング詐欺に特有のフレーズや疑わしいURLが含まれているため、サーバーの検閲システムが正しく「ゴミ」だと判定した結果です。
送信者と受信日時
| 送信者 | “Binance” <EEsyBFShrK@15ne.jp> |
|---|---|
| 受信日時 | 2026-01-27 11:07 |
メール本文
こんにちは最近のウクライナ危機を巡る一連の出来事により、仮想攻撃が原因で東欧にある当社のサーバーが継続的に中断されています。その一方で、大口投資家の恐怖感から、暗号通貨、トークン、NFT市場が急落しています。
2026年1月25日(日曜日)03:05(UTC-3)に、重大な攻撃が発生し、非機密データが漏洩したことを確認しました。
もし外部ウォレット(12語または24語)を連携している場合は、ウォレットをバイナンスアカウントと連携し、段階的に取引所から外部ウォレットに資金を移動させて、資産の安全を確保することをお勧めします。
メリット:
・ウォレット内の主要な暗号資産とバイナンス間の送金手数料は無料です。
・すべての取引は匿名で行われます。
・両方のアカウント残高はバイナンスプラットフォーム上で確認できます。
・ウォレットを使用して暗号資産を取引する際、即座に流動性が得られます。
・お客様の責任範囲外のポートフォリオに対しても、より高い取引の安全性が確保されます。
ウォレットを接続する(h**ps://www.rdafn.cn/0Ghc0S)
バイナンスチームより
こちらは自動送信メッセージです。
2026 – All rights reserved.
※実際のURLは「h**ps」と一部伏字にしており、リンクは無効化しています。
危険なポイント
送信者メールアドレスが偽物です。
Binanceの公式サイトであれば「@binance.com」などの独自ドメインを使用しますが、今回の送信元は「@15ne.jp」という全く無関係な日本のドメインになっています。
また、本文中で「12語または24語の外部ウォレット連携」を求めていますが、これはウォレットの全資産を奪うための「リカバリーフレーズ」を盗み出す典型的な詐欺の手口です。
推奨される対応
このメールは即座に削除してください。
絶対にリンク先でリカバリーフレーズ(秘密の言葉)を入力してはいけません。
Receivedヘッダー解析(送信経路)
カッコ内の [35.227.186.147] は、メールサーバーが直接通信した相手のIPアドレスであり、偽装が困難な信頼できる情報です。
このIPの逆引きドメインに bc.googleusercontent.com が含まれる場合、攻撃者がGoogle Cloud Platform(GCP)のサーバーを悪用してメールを配信していることを示唆しています。
正規のBinanceサーバーから送信されたものではないことが明白です。
リンク先解析
| ドメイン名 | www.rdafn.cn |
|---|---|
| IPアドレス | 34.92.xx.xx (Google Cloud) |
| ホスティング | Google LLC / Google Cloud |
| 国名 | Hong Kong (HK) |
※whois.domaintools.comの情報を参照
URLが危険と判断できるポイント
現時点ではウイルスバスターやGoogleによるブロックが追いついていない可能性がありますが、ドメインが「.cn(中国)」であり、Binanceの公式サイトとは一切関係がありません。
クラウドサービスを使い捨てのように利用して構築された、典型的なフィッシング用使い捨てドメインです。
リンク先の稼働状況
現在稼働中。アクセスするとBinanceを模倣した偽のログイン・連携画面が表示され、リカバリーフレーズの入力を求められます。
詐欺サイトの画像
まとめ
ウクライナ危機という社会情勢の不安に付け込み、暗号資産を盗み取ろうとする極めて悪質なメールです。
「資産を守るためにリカバリーフレーズを教えろ」というのは、銀行員が「守るから暗証番号を教えろ」と言っているのと同じ。
そんな矛盾だらけの誘いには、冷ややかな視線を送ってゴミ箱へポイしましょう。