主な要点
アプリケーション プログラミング インターフェイス (API) キーを使用すると、特定のプログラムにユーザー データへの便利なアクセスを許可できます。
ただし、API キーは適切に管理しないと危険にさらされる可能性があります。資産の侵害を防ぐためには、API キーを安全に使用する方法を学ぶことが不可欠です。
Binance はセキュリティを強化するために RSA API キー ペアをサポートするようになりました。それらを生成して使用する方法を確認してください。
API キーを使用すると、ユーザーは自分のデータに簡単にアクセスできるようになります。 RSA キー ペアから IP キー ホワイトリストまで、API キーを安全に保つための 5 つのヒントを Binance から学びましょう。
APIキーとは何ですか?
アプリケーションプログラミングインターフェース(API)は、特定のプログラムにユーザーデータへのアクセスを許可し、ユーザーの代理で行動できる効率的な方法です。APIを使用すると、必要に応じてバイナンスからデータを引き出し、外部アプリケーションと対話できます。しかし、APIキーは適切に保存および使用しないと脆弱性をもたらす可能性があります。たとえば、被害者のAPIキーを盗んだりフィッシングしたりする悪意のある行為者は、資金にアクセスできる可能性があります。私たちの5つのAPIキーセキュリティのヒントを参考にして、資産を安全に保つ方法を学んでください。
バイナンスAPIキーを保護するための5つのヒント
1. APIキーを他人と共有しない
APIの秘密鍵(HMAC)および秘密鍵(Ed25519、RSA)は非常に機密性の高いデータです。APIキーを第三者と共有しないでください。APIの秘密鍵があれば、誰でも当社のリスク監視システムに検出されることなく、あなたの代理でAPIリクエストを開始できます。
また、API管理ページを通じてアカウント上のアクティブなAPIキーを頻繁に確認するべきです。いずれかのAPIキーのセキュリティが侵害された疑いがある場合は、直ちに変更してください。また、APIキーを頻繁にローテーションすることも良い考えです。これは、いくつかのシステムがパスワードを30〜90日ごとに変更する必要があるのと同様です。使用しているかどうかに関係なく。
2. アクセスマネジメントに注意を払う
APIキーは、自動取引、ポジションおよびリスク監視、税務目的などのタスクに役立ちます。そのため、1つのAPIキーで全ての権限を有効にして、API取引やデータクエリなどの複数の目的に使用したくなるかもしれません。しかし、これは鍵のセキュリティを低下させます。APIキーが侵害された場合、ハッカーはあなたのアカウントと資金に完全にアクセスできる可能性があります。
特定のアプリケーション用にAPIキーを使用し、その目的に必要な権限のみを有効にする方が安全です。たとえば、取引リスクを監視し、税金を報告し、APIスポットおよび先物取引を実行したい場合は、次の目的ごとに少なくとも4つの鍵を作成する必要があります:
スポット取引
先物取引
税務データクエリ
取引データクエリ(読み取り専用権限)
バイナンスでは、各サブアカウントに最大30のAPIキーを作成できます。
3. APIキーのデータを安全に保存する
前述のように、APIキーが悪意のある行為者の手に渡ると、あなたの資産が危険にさらされる可能性があります。秘密鍵を保護するのと同じように、APIの詳細をプレーンテキストで保存しないでください。代わりに、それを暗号化するか、信頼できるシークレットマネージャーを使用してください。また、APIキーを保存するためにクラウドベースのソリューションを使用することは避けてください。ハッキングの危険性があるためです。
また、アプリケーションのソースコードやリポジトリ内にAPIキーを保存しないことをお勧めします。Githubやその他のSCMを使用している場合は、gitLeaksやgit-secretsなどのシークレットスキャナーを使用して、トークンやツールによって使用される他の秘密がリポジトリに残らないようにしてください。
第三者管理システムの外部にファイルや環境変数にAPIキーのデータを保存することを検討してください。これにより、彼らと個人情報を共有することを避けられます。秘密鍵ファイルには追加のパスフレーズ保護を使用してください。
4. IPホワイトリストを使用する
すべてのAPIキーにIPホワイトリストを利用することを強くお勧めします。これにより、これらのキーの権限や目的に関係なく、APIキーは特定のIPアドレスからのみアクセス可能になります。これにより、悪意のある行為者がAPIキーを取得した場合でも、利用を防ぐことができます。
APIキーはIPホワイトリストなしで出金リクエストを開始することはできませんが、キーが悪用される他の方法もあります。ハッカーがあなたのキーにアクセスできると、比較的小さな取引ボリュームの資産を使用してペア取引を行い、あなたのウォレットから徐々に資産を引き出す可能性があります。ハッカーのアカウントから不要な資産を購入し、あなたのブルーチップ資産(BTC、BNB、TUSDなど)と取引すると、最終的には意図しないアルトコインを手に入れることになります。言い換えれば、ハッカーはあなたのAPIキーを使用して、流動性が比較的低い市場であなたの資産を彼らの資産と交換することができます。
このような詐欺を防ぐために、バイナンスは自動APIキー削除ポリシーを実施しています。APIキーがIPホワイトリストに登録されておらず、30日間非アクティブであれば、それは削除されます。自動削除を避けるためには、IPホワイトリストを作成してください。
また、サードパーティのライブラリやツールの使用に注意を払うことをお勧めします。APIキーを抽出するために特別に設計された悪意のあるライブラリがあります。ウイルスやマルウェアスキャナーに加えて、ソフトウェア構成分析(SCA)ツールを使用し、サードパーティのライブラリを含める前に慎重にレビューしてください。
5. 非対称鍵ペアを使用する
非対称鍵ペアは、公開鍵と秘密鍵を使用してデータ送信を保護するメカニズムです。非対称鍵ペアを使用すると、署名を作成するために使用される秘密鍵を共有する必要はありません。つまり、秘密鍵が秘密に保たれ安全であれば、他の誰もあなたの代理で正当なリクエストを開始することはできません。
バイナンスは現在、Ed25519およびRSA(リベスト・シャミール・アドラマン)鍵を使用して署名されたAPIリクエストを作成することをサポートしています。Ed25519デジタル署名方式は、3072ビットRSA鍵と同等の高いセキュリティを提供しながら、はるかに小さな署名を持っており、計算も速くなります。
バイナンスでAPIキーを生成する方法
Ed25519およびRSAの公開鍵と秘密鍵のペアを作成し、公開鍵をバイナンスに登録し、対応する秘密鍵を使用して署名されたAPIリクエストを作成できるようになりました。
非対称鍵ペアを作成するためのステップバイステップガイド
公式の非対称鍵生成ツールの最新バージョンをダウンロード
アプリケーションを起動します。鍵を生成、コピー、または保存できます。また、鍵のサイズを調整することもできます。
バイナンスアプリを通じて公開鍵を登録するには、[プロフィール] -> [API管理] -> [APIを作成] -> [自己生成APIキー]に移動します。
非対称鍵生成ツールから公開鍵をコピーし、登録するためのボックスに貼り付けます。
APIキーの名前を入力し、[次へ]をクリックして、登録を完了するために2FAを完了します。
詳細については、バイナンスでAPIリクエストを送信するためのEd25519鍵ペアを生成する方法に関するガイドをご参照ください。
避けるべき5つの一般的なAPIキーセキュリティミス
APIキーの共有: APIキーを第三者と共有しないでください。これにより、アカウントへの不正アクセスが可能になり、資金の損失につながる可能性があります。
過剰な権限を有効にする: 1つのAPIキーで全ての権限を有効にするのは避けてください。1つの鍵が侵害された場合のリスクを最小限に抑えるために、異なる目的ごとに別々の鍵を使用してください。
APIキーを不安全に保存する: APIキーをプレーンテキストやアプリケーションのソースコード内に保存しないでください。暗号化や信頼できるシークレットマネージャーを使用して安全に保管してください。
IPホワイトリストを使用しない: 常にIPホワイトリストを使用して、特定のIPアドレスからのAPIキーへのアクセスを制限し、鍵が侵害されても不正使用を防ぎます。
非対称鍵ペアを無視する: 署名されたAPIリクエストを作成するために非対称鍵ペア(Ed25519またはRSA)を利用し、秘密鍵が安全に保たれるようにします。
最終的な考え
APIキーのセキュリティを確保することは、資産を保護し、外部アプリケーションとの安全な相互作用を確保するために重要です。APIキーを共有しない、アクセスを適切に管理する、安全に鍵を保存する、IPホワイトリストを使用する、非対称鍵ペアを利用するなどのベストプラクティスに従うことで、不正アクセスや資金の損失のリスクを大幅に減少させることができます。APIキーの管理には警戒心を持ち、積極的に行動して、バイナンスでのデジタル資産を常に安全に保ってください。
さらに読む
一般的な暗号詐欺を特定し回避する方法
詐欺的な回復サービス: 2度も詐欺に遭わないために
P2P詐欺や詐欺を見抜き、回避する方法