APIキーの漏洩は緊急に対処すべきセキュリティインシデントです。APIキーはアカウントの鍵のようなもので、所有者はアカウントにログインせずに取引操作を実行できます。漏洩を発見したら、直ちに行動を起こす必要があります。
すぐにバイナンス公式サイトにログインしてこの問題に対処してください。スマートフォンでの操作が必要な場合、AndroidユーザーはAPKをダウンロードしてバイナンスAppをインストールできます。
ステップ1:漏洩したAPIキーを直ちに削除する
バイナンスアカウントにログインし、「API管理」ページに入り、漏洩したAPIキーを見つけて直ちに削除します。どのキーが漏洩したか不明な場合は、すべてのAPIキーを削除し、確実に必要なキーのみを再作成することをお勧めします。削除操作にはセキュリティ認証の完了が必要です。迅速に行動してください。
ステップ2:APIキーの権限設定を確認する
削除前または同時に、漏洩したキーの権限設定を確認します。特に重要なのは、出金権限が有効になっていたかどうかです。有効になっていた場合、攻撃者がAPI経由で資産を送金している可能性があります。直ちに出金記録を確認し、異常な出金操作がないか確認してください。
ステップ3:アカウント資産と取引記録を確認する
アカウント残高、最近の取引記録、出金記録を全面的に確認します。攻撃者はAPIキーを利用して以下の操作を行った可能性があります:低価格での売り注文による資産の叩き売り、特定の通貨の高価格での買い注文と攻撃者の別アカウントの売り注文との組み合わせによる利益獲得、API経由での直接出金(出金権限がある場合)。
ステップ4:他のセキュリティ設定を確認する
ログインパスワード、メールアドレス、電話番号、Google Authenticatorなどのセキュリティ設定が正常か確認します。APIキーの漏洩がアカウントの他の情報の漏洩を意味するとは限りませんが、安全のためパスワードの変更もお勧めします。
APIキー漏洩の一般的な原因
最も一般的な原因は、APIキーを含むコードをGitHubなどの公開コードリポジトリにアップロードしてしまうことです。その他の原因には、安全でないサードパーティの取引ツールにAPIキーを入力した、パソコンがトロイの木馬に感染して窃取された、公共の場やスクリーンショットでキーの内容が露出したなどがあります。
APIキーを再作成する際のセキュリティアドバイス
APIキーを再作成する際は、最小権限の原則に従ってください。本当に必要な権限のみを有効にします。例えば、相場データの読み取りだけが必要なら取引権限は有効にせず、出金が不要なら絶対に出金権限を有効にしないでください。IPホワイトリストを設定し、特定のIPアドレスのみがそのAPIキーを使用できるように制限します。これにより、キーが漏洩しても他のIPアドレスからは使用できません。
予防策
公開コードにAPIキーをハードコードしないでください。環境変数や設定ファイルを使用します。チャットやメールでAPIキーを送信しないでください。定期的にAPIキーをローテーションし、同じキーを長期間使用しないでください。使用しなくなったAPIキーは速やかに削除してください。