セキュリティ＆アンチフィッシング

最終更新：2026年4月

お客様の安全を最優先に考えています。このページでは公式ドメインとソーシャルアカウントを一覧表示し、フィッシングの識別方法を説明し、セキュリティ問題の報告方法を記載します。

公式ドメイン

CoinKirinは以下のドメインのみで運営しています。それ以外のものは当社ではありません：

• coinkirin.com — メインウェブサイト（一般ユーザー）。
• api.coinkirin.com — 公開REST API。
• static.coinkirin.com — CDN経由で配信される静的アセット（画像、CSS、JS）。
• mcp.coinkirin.com — AIエージェント向けMCPサーバー。

他のドメイン経由でのログインを要求することは決してありません。ブラウザのURLが上記のいずれでもない場合は、直ちにタブを閉じてください。

公式ソーシャルアカウント

唯一の公式チャネルは以下のとおり。他の場所でCoinKirinを名乗るアカウントはなりすましです：

• GitHub — https://github.com/coinkirin

フィッシングの識別方法

攻撃者はCoinKirinスタッフや類似ドメインになりすますことがあります。以下のルールを忘れないでください：

• 決してシードフレーズ、秘密鍵、ウォレットパスワードを要求するメールを送ることはありません。そうする者は詐欺師です。
• 当社から先に Telegram、Discord、WhatsApp DM で資金、検証、資格情報を要求することは決してありません。
• 常にドメインのスペルを確認してください。攻撃者はc0inkirin.com、coinklrin.com、coinkirin.coなどのトリックを使います。
• SSL証明書を確認 — ブラウザの鍵アイコンをクリック。証明書はcoinkirin.com宛てに発行されている必要があります。
• 当社からの正規メールは@coinkirin.comアドレスから来ます。クリック前に必ずリンクにマウスオーバーしてください。

セキュリティ問題の報告

フィッシング、なりすましの疑いがある場合、または脆弱性を発見した場合は、以下にメールしてください security@coinkirin.com.

以下を含めてください：

• 問題または疑わしいフィッシング試行の明確な説明。
• 該当する場合、URL、スクリーンショット、メールヘッダー、再現手順。
• フォローアップのための連絡先情報（オプション）。

バグバウンティ

正式なバグバウンティプログラムが近日開始予定。その間、責任ある情報開示に従うセキュリティ研究者に感謝します — 有効な発見はセキュリティ殿堂入りで称えられます。

使用するセキュリティヘッダー

各CoinKirinページは厳格なセキュリティヘッダーで配信されます：

• HSTS — サブドメインを含め、少なくとも180日間HTTPSのみの接続を強制。
• Content-Security-Policy (CSP) — nonceを使用した厳格なContent Security Policy — 注入されたスクリプトをブロックし、アセット元を当社CDNに制限。
• X-Frame-Options — クリックジャッキング防止のためフレーム化を拒否。
• X-Content-Type-Options — MIMEタイプのスニッフィングを防止。
• Referrer-Policy — Strict-origin-when-cross-origin — 第三者へのreferrer漏洩を制限。

Android APK署名

当社のAndroidアプリはAPKとして直接配布され、安定したキーで署名されています。インストールまたはアップデート前に常に署名証明書のフィンガープリントを確認してください — フィンガープリントが異なる場合、APKは正規品ではありません。

SHA-256署名証明書フィンガープリント:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

フィンガープリントは以下で確認できます：apksigner verify --print-certs coinkirin-latest.apk。インストール済みアプリでは、設定→詳細→署名でデバイス上のフィンガープリントを確認できます。

責任ある開示ポリシー

90日間の調整された開示ウィンドウに従います。研究者へのコミットメント：

• 5営業日以内にレポートの受領を確認します。
• 善意で行動し、このポリシーに従う研究者に対して法的措置を取りません。
• 公開開示は研究者と調整され、通常は初回レポートから90日以内、または修正が展開された時点で実施されます。