重要なポイント
アプリケーション プログラミング インターフェイス (API) キーを使用すると、特定のプログラムのユーザー データに簡単にアクセスできます。
ただし、API キーは適切に管理しないと危険にさらされる可能性があります。資産の侵害を防ぐには、API キーを安全に使用する方法を学ぶことが重要です。
Binance はセキュリティを強化するために RSA API キー ペアをサポートするようになりました。作成方法と使用方法を学びます。
API キーを使用すると、ユーザーは自分のデータに簡単にアクセスできるようになります。 RSA キー ペアから API キー ホワイトリストまで、API キーを安全に保つための 5 つのヒントを Binance から学びましょう。
アプリケーション プログラミング インターフェイス (API) キーは、ユーザーに代わって動作する特定のプログラムにユーザー データへのアクセスを提供する効率的な方法です。ただし、API キーは適切に保存および使用されないと脆弱性を引き起こす可能性があります。たとえば、悪意のある攻撃者が被害者の API キーを盗んだりフィッシングしたりすると、被害者の資金にアクセスできる可能性があります。 API キーの 5 つのセキュリティに関するヒントで、資産を安全に保つ方法を学びましょう。
1. キーを他人と共有しないでください
API キーの秘密キー (HMAC) と秘密キー (RSA) は非常に機密性の高いデータです。この情報は開示しないことを強くお勧めします。そのキーを使用すると、リスク監視システムに検出されることなく、誰でもお客様に代わって API リクエストを開始できます。
また、API 管理ページからアカウント内のアクティブな API キーを頻繁に確認する必要があります。 API キーのセキュリティが侵害されていると思われる場合は、ためらわずにその API キーを削除し、新しいものと置き換えてください。また、積極的に使用しているかどうかに関係なく、30 ~ 90 日ごとにパスワードを変更する必要がある一部のシステムと同様に、古い API キーを頻繁に削除して新しい API キーに置き換えることもお勧めします。
2. アクセス管理を徹底する
API キーは、自動取引、ポジションとリスクの監視、税金に役立つツールです。したがって、API 取引やデータ クエリなどの複数の目的で使用するために、単一の API キーに対するすべての権限を有効にしたくなる場合があります。ただし、これによりキーのセキュリティが低下します。API キーが侵害されると、ハッカーがアカウントと資金に完全にアクセスできるようになります。
単一のアプリに対して API キーを使用し、その目的にのみ必要な権限を有効にする方が安全です。たとえば、取引リスクを監視し、税金を報告し、スポットおよび先物 API 取引を実行する場合は、それぞれ次のいずれかの目的で少なくとも 4 つのキーを作成する必要があります。
現物取引
先物取引
税データのクエリ
取引データのクエリ(読み取り専用権限)
Binance では、サブアカウントごとに最大 30 個の API キーを作成できます。
3. API キー データを安全に保存する
前述したように、API キーが犯罪者の手に渡った場合、資産が侵害される可能性があります。秘密キーを保護する場合と同様に、API の詳細をプレーン テキストで保存しないでください。代わりに、暗号化するか、信頼できるシークレット マネージャーを使用してください。また、API キーはハッキングに対して脆弱である可能性があるため、クラウドベースのソリューションを使用して API キーを保存することも避けてください。
また、API キーをアプリケーションのソース コードやリポジトリに保存しないことをお勧めします。
個人情報がサードパーティと共有されるのを避けるために、使用しているサードパーティ管理システムの外部のファイルまたは環境変数に API キー データを保存することを検討してください。
RSA 秘密キーはパスワード保護をサポートしているため、RSA キーを使用するユーザーは、所有する RSA 秘密キーにパスワードを追加する必要があります。
4. IP ホワイトリストを使用する
Binance は、API キーの権限や目的に関係なく、すべての API キーに対して IP ホワイトリストを使用することを強く推奨します。 IP ホワイトリストを使用すると、API キーには特定の IP アドレスからのみアクセスできます。これにより、API キーが侵害された場合でも、悪意のある攻撃者が API キーを使用するのを防ぎます。したがって、API キーの使用に使用されるすべての IP アドレスをホワイトリストに登録する必要があります。
詐欺に注意してください
IP をホワイトリストに登録せずに API キーを使用してプル リクエストを開始することはできませんが、API キーを保護する必要があります。ハッカーがあなたのキーにアクセスすると、取引量が比較的少ない資産を使用して取引を行い、あなたのウォレットから資産をゆっくりと吸い上げることができます。ハッカーアカウントから不要な資産を購入し、優良資産(BTC、BNBなど)と交換すると、購入する予定のなかったアルトコインを所有することになります。言い換えれば、ハッカーはあなたの API キーを使用して、比較的流動性の低い市場であなたの資産を彼らの資産と交換することができます。
このような詐欺を防ぐために、Binance は 2022 年 12 月に API キーの自動削除ポリシーを導入しました。API キーがホワイトリストに登録された IP を使用しておらず、30 日間非アクティブな場合、その API キーは削除されます。自動削除を回避するには、IP をホワイトリストに登録する必要があります。
5. RSA キーペアを使用する
RSA (Rivest-Shamir-Adleman) キー ペアは、公開キーと秘密キーを使用してデータ送信を保護するメカニズムです。
RSA キー ペアを使用すると、署名の作成に使用される秘密キーを共有する必要がありません。これは、秘密キーが秘密で安全に保たれている限り、他の人があなたの代わりに本物のリクエストを開始できないことを意味します。
Binance が RSA API キーをサポート
Binance は RSA API キーをサポートするようになりました。 RSA 公開キーと秘密キーのペアを作成し、Binance に公開キーを登録し、対応する秘密キーを使用して署名付き API リクエストを行うことができるようになりました。
Binance で RSA キー ペアを作成するにはどうすればよいですか?
公式 RSA キー ジェネレーターの最新バージョンをダウンロードします。
アプリを起動します。キーを作成、コピー、または保存できます。キーのサイズをカスタマイズすることもできます。
Binance アプリから RSA キーを登録するには、[プロフィール] - [API 管理] - [API の作成] - [API キーの作成] に移動します。
RSA キー ジェネレーターから公開キーをコピーし、ボックスに貼り付けて登録します。
APIキーの名前を入力して[次へ]をクリックし、2FAを完了すると登録が完了します。
詳細については、Binance で API リクエストを送信するための RSA キー ペアを作成する方法に関するガイドをご覧ください。
さらに読む
(お知らせ) Binance が RSA API キーをサポート (2022-12-29)
(ブログ) 一般的な暗号通貨詐欺師による詐欺を特定して回避する方法
(ブログ) 偽資金回収サービス: この種の詐欺を回避する方法
(ブログ) P2P 詐欺を見分けて回避する方法
(ブログ) 詐欺師が暗号プロジェクトを騙すために私の AI ホログラムを作成