ビットコインの秘密鍵を9分で解読？量子脅威下におけるブロックチェーンのサバイバルガイド。

著者：長安一巴眼コンテンツチーム

Googleの量子AIチームによる最近の論文（要約）によると、50万量子ビットのフォールトトレラント量子コンピュータであれば、理論上9分でビットコインの秘密鍵を解読でき、公開鍵が漏洩した約690万ビットコインが危険にさらされる可能性があるという。現在の技術はこの目標に446倍遅れており、2029年頃に達成されると予想されているが、もはや荒唐無稽なSFではない。ビットコインコミュニティは、BIP-360やSPHINCS+などの量子耐性アップグレードを推進している。一般ユーザーは現時点でパニックになる必要はないが、アドレス形式を確認し（bc1pで始まるTaprootアドレスの長期使用は避ける）、「1アドレス1トランザクション」の習慣を身につけ、ウォレットベンダーからの今後のアップデートに注意を払うべきである。

2026年3月31日、ごく普通の月曜日に、仮想通貨コミュニティは突如として爆発的な盛り上がりを見せた。

Googleの量子AIチームは、量子コンピュータがわずか9分でビットコインの秘密鍵を解読できるとする論文を発表した。一方、ビットコインのブロックの平均承認時間は10分である。

これは大げさな懸念だと言う人もいれば、現実とはかけ離れていると言う人もいるが、今回はグーグルが警告を発している。

量子コンピューターは本当にビットコインを解読できるのか？その脅威は現実のものなのか、それとも誇張されているのか？一般の人々は何をすべきなのか？この記事では、これらの疑問を解明しようと試みる。

I. Googleの論文には具体的に何が書かれていたのですか？

これまで業界では、ビットコインの暗号化アルゴリズムを解読するには、量子コンピュータで数百万個の量子ビットが必要だというのが一般的な見解だった。この数字は途方もなく大きく、誰もが実現には何十年もかかると考えていた。しかし、Googleのこの論文は、その数を50万個未満にまで削減した。つまり、20分の1にまで削減したことになる。

この論文では、具体的な攻撃シナリオが提示されています。ビットコインの取引を送信すると、公開鍵がネットワーク上に一時的に公開され、ブロックに含まれるのを待ちます。この時間は平均10分です。Googleの推定によると、十分な性能を持つ量子コンピュータであれば、約9分で公開鍵から秘密鍵を推測し、より高いマイナー手数料を設定した偽の取引を作成することで、元の取引がブロックチェーンに記録される前に資金を横取りすることが可能であり、その成功率は約41%です。

もちろん、この論文は完全な誤り訂正機能を備えた耐障害性量子コンピュータについて述べている。GoogleのWillowプロセッサは物理的な量子ビットがわずか105個しかないのに対し、論文では50万個が必要だとされている。その差は446倍にもなるため、ビットコインを解読できる量子コンピュータはまだ存在しない。

Google自身の目標は、2029年までにポスト量子暗号への移行を完了することであり、これはある程度、彼らが脅威が現実のものとなる時期をどう考えているかを示している。

しかし、もしこの機械が実際に製造されれば、ビットコインを解読するコストはあなたが想像するよりもはるかに低くなるだろう。

II．量子コンピュータと通常のコンピュータの違いは何ですか？

しかし、これが何を意味するのかを議論する前に、まず一つ明確にしておくべきことがあります。それは、量子コンピュータとは一体何なのかということです。

一般的なコンピュータはビットを使って情報を処理し、各ビットは0か1の2つの状態しか持ちません。

すべての計算は、これらの0と1の操作を伴います。256ビットの秘密鍵は2²⁵⁶通りの組み合わせが存在することを意味します。世界中のすべての計算能力を合わせても、古典的なコンピュータで総当たり攻撃を仕掛けるには、宇宙の年齢よりも長い時間がかかります。これが、ビットコインが過去15年間、非常に安全であった理由です。

量子コンピュータは量子ビット（キュービット）を使用しますが、量子ビットの特異性は重ね合わせ状態にあります。つまり、量子ビットは0と1を同時に持つことができるのです。8つの量子ビットは1つの状態を表すだけでなく、同時に256の状態を表すことができます。量子ビットの数が増えるほど、並列処理能力は指数関数的に向上します。

しかし、並列処理だけではビットコインに対する脅威とはなり得ません。量子コンピュータが暗号技術にとって真の脅威となるのは、1994年にMITの数学者ピーター・ショアによって考案された「ショアのアルゴリズム」によるものです。このアルゴリズムは、大きな整数を因数分解し、楕円曲線離散対数問題を解くために特別に設計されており、これらはまさにビットコインとイーサリアムの秘密鍵のセキュリティの基盤となっています。

例えば、従来のコンピュータは迷路の出口を探すようなもので、一度に試せる道は一つだけです。一方、ショアのアルゴリズムを用いた量子コンピュータは、誰かが迷路を上空から見下ろしているようなもので、出口がどこにあるのかを一目で把握できます。

ビットコインで使用されている署名アルゴリズムはECDSA（楕円曲線デジタル署名アルゴリズム）と呼ばれ、secp256k1曲線上で動作します。このシステムは従来のコンピュータでは解読不可能ですが、ショアのアルゴリズムは楕円曲線の数学的構造を具体的に破壊することができます。

III. 量子コンピューターは一体どのようにしてあなたのビットコインを盗むのでしょうか？

量子コンピューターの原理を理解したところで、それが具体的にビットコインにどのような脅威をもたらすのかを見ていきましょう。

ウォレットが作成されると、システムは256ビットのランダムな数値である秘密鍵を生成します。公開鍵は秘密鍵から生成され、ウォレットアドレスは公開鍵から生成されます。この連鎖は順番にしか辿ることができません。秘密鍵を知っていれば公開鍵を計算できますが、その逆はできません。

ビットコインを送金する際、秘密鍵はデジタル署名の生成にのみ使用され、その署名は送金完了をネットワーク全体に知らせるためにトランザクションとともに送信されます。ネットワークは署名を検証し、トランザクションが承認され、取引が完了します。

ショアのアルゴリズムは、理論的にはビットコインの秘密鍵セキュリティの基盤である楕円曲線暗号を破る可能性を秘めていた。しかし、このアルゴリズムを実行するために必要な計算能力が従来のコンピュータの能力をはるかに超えていたため、誰も真剣に受け止めなかった。

問題は、量子コンピューターが近年目覚ましい進歩を遂げていることだ。量子コンピューターが十分な性能を持つようになれば、あなたの公開鍵から秘密鍵を推測し、署名を偽造して、あなたのお金を送金することが可能になる。

ここで重要な疑問が生じます。あなたの公開鍵は漏洩していませんか？

公開鍵を公開するシナリオは2つあります。

最初のタイプは長期公開型で、公開鍵がブロックチェーン上に永久的に書き込まれ、量子コンピュータによっていつでも読み取ることができます。このカテゴリには、次の2種類のアドレスが含まれます。

サトシ・ナカモトや初期のマイナーが使用していたオリジナルのアドレス形式で、公開鍵が平文で直接保存されていた。
bc1pで始まるアドレスは、Taprootがプライバシーと効率性を向上させるために考案したものだが、その設計では公開鍵がアドレス自体に埋め込まれているため、量子攻撃の脅威に対しては逆効果となる。

2つ目のタイプは、短期的な公開です。従来のアドレス形式でトランザクションを送信する時点では、公開鍵は未使用状態のハッシュ値の背後に隠されており、外部からは見えません。しかし、トランザクションを送信するたびに、公開鍵はトランザクションとともにmempoolに入り、ブロックにパッケージ化される前にネットワーク全体で見えるようになります。この期間は平均10分です。

つまり、日々の業務においてどれほど注意を払っていても、取引を開始した時点で、攻撃を受ける可能性は常に存在するということです。

現在、約690万ビットコインの公開鍵がブロックチェーン上に永久的に公開されています。これらのビットコインが個人ウォレットにあるか、取引所のホットウォレットにあるかにかかわらず、アドレスが前述の高リスクタイプに属しているか、または過去に取引を行ったことがある限り、公開鍵は漏洩していることになります。

IV．ビットコインコミュニティは何をしているのか？

Googleの論文が発表された当日、CZ（@cz_binance）はTwitterで次のように反応した。「パニックになる必要はありません。仮想通貨を量子耐性アルゴリズムにアップグレードすることで問題は解決できます。脅威は現実のものですが、業界はそれに対処する能力を持っています。」

一方、ヴィタリック・ブテリンははるかに慎重な姿勢をとった。彼はこの問題についてずっと以前から警告しており、真の攻撃能力を持つ量子コンピュータが2030年までに登場する可能性は約20％だと推定している。

両者とも脅威が現実のものであるという点では一致しているが、その緊急性については意見が異なっている。ビットコイン開発者コミュニティは、この論文が発表されるずっと前からこの問題を無視していたわけではなく、現在4つの方向性について真剣に議論が交わされている。

1️⃣ BIP-360（ペイ・トゥ・マークル・ルートとも呼ばれる）。現在のビットコインアドレスは公開鍵をブロックチェーン上に永続的に保存するが、BIP-360はトランザクション構造から公開鍵を完全に削除し、マークルルートに置き換える。量子マシンは分析する公開鍵を持たないため、攻撃の可能性が排除される。

このソリューションは既にBTQ Technologiesのテストネットで稼働しており、50以上のマイナーが参加し、20万以上のブロックを処理しています。ただし、BIP-360は新たに生成されたコインのみを保護するものであり、公開鍵が公開されている170万の古いアドレスは依然として問題であることを明確にしておく必要があります。

2️⃣SPHINCS+: 正式にはSLH-DSAとして知られるこの方式は、ハッシュ関数に基づいたポスト量子署名方式です。そのロジックは単純明快です。ショアのアルゴリズムは楕円曲線用に特別に設計されているため、署名に楕円曲線の代わりにハッシュ関数を使用すればよいのです。

この方式は2024年8月にNISTによって標準化されました。問題は署名サイズにあります。現在、ビットコインのECDSA署名はわずか64バイトですが、SPHINCS+署名は8KBを超え、100倍以上のサイズ増加となり、取引手数料とブロック容量の要件が大幅に増加します。

この問題を解決するため、開発者たちはセキュリティを損なうことなく署名サイズを圧縮することを目的とした、SHRIMPSやSHRINCSといった最適化手法を提案した。

3️⃣ コミット/リビール方式：ライトニングネットワークの共同創設者であるタッジ・ドライジャ氏が提案したこの方式は、mempoolにおける短期的な情報漏洩リスクに対処するものです。トランザクションを2つのフェーズに分割します。

最初の段階では、ハッシュフィンガープリントを送信しますが、これには取引情報は含まれておらず、単にブロックチェーン上にタイムスタンプを残すだけです。
実際のトランザクションは第2フェーズでブロードキャストされ、その時点で公開鍵が公開されます。たとえ量子攻撃者が第2フェーズで公開鍵を傍受し、秘密鍵を推測できたとしても、第1フェーズの事前コミットの記録がないため、偽造されたトランザクションはネットワークによって拒否されます。コストはトランザクションごとに1ステップ追加されるため、全体のコストがわずかに増加します。

これは、より完全な量子耐性システムが確立されるまでの暫定的な解決策として、コミュニティ内で認識されている。

4️⃣ Hourglass V2：開発者Hunter Beastが提案したこのソリューションは、公開鍵が永久に公開されている170万の古いアドレスを特にターゲットとしています。このソリューションの背後にある論理は悲観的ではありますが現実的です。これらのアドレスの公開鍵はもはや隠すことができないため、量子マシンが十分に強力になれば、これらのコインはいずれ盗まれるでしょう。

Hourglass V2は、古いアドレスが盗まれるのを防ぐことを目的としているのではなく、銀行取り付け騒ぎの際に1日の引き出し限度額を制限するのと同様に、そのようなアドレスから送金できるビットコインの量を1ブロックあたり1枚に制限することを目的としています。

この提案は非常に物議を醸している。なぜなら、ビットコインコミュニティには「誰もあなたのビットコインに干渉する権利はない」という原則があり、多くの人々は、この限定的な制限でさえ行き過ぎだと考えているからだ。

ビットコインがアップグレードを迫られるのは今回が初めてではない。2017年のスケーリング問題は数年にわたり議論され、最終的にはビットコインキャッシュのフォークという結果に終わった。2021年のTaprootへのアップグレードは、提案から有効化まで4年近くを要した。毎回、コミュニティは長い議論、綱引き、そして妥協を経てようやく前進する。量子脅威への対応も、おそらく同じ道を辿るだろう。

V. 一般ユーザーは今、何をすべきでしょうか？

結局、一般ユーザーは何ができるのだろうか？

答えはあなたが思っているほど複雑ではありません。量子コンピューターは今のところあなたのビットコインを解読することはできませんが、今から注意を払うべき点がいくつかあります。

1️⃣ 住所の形式を確認してください

ウォレットを開き、受信アドレスの先頭部分を確認してください。「bc1p」で始まるアドレスはTaprootアドレスであり、デフォルトで公開鍵がアドレス自体に埋め込まれているため、長期的なリスクを伴う高リスク形式です。資産がこのようなアドレスに保管されていて、これまで一度もアクセスされていない場合は、現時点ではリスクは理論上のものですが、BIP-360の進捗状況には注意を払う価値があります。

bc1qで始まるSegWitアドレスと、1で始まる従来のアドレスは、未使用の状態で公開鍵がハッシュによって保護されているため、比較的安全です。しかし、一度トランザクションが送信されると、公開鍵はブロックチェーン上に永久的に公開されます。

2️⃣ 自宅で良い衛生習慣を身につけましょう

同じアドレスへの送金と受金の繰り返しは避けてください。トランザクションごとに公開鍵が公開され、以前使用したアドレスのハッシュ保護が失われます。最新のウォレットのほとんどは、トランザクションごとにデフォルトで新しいアドレスを生成します。この機能は有効にしておくことをお勧めします。

3️⃣ ウォレットアプリのアップデートに注意してください。

LedgerやTrezorといったハードウェアウォレットベンダーは、量子アップグレードへの対応において重要な役割を担います。BIP-360やポスト量子署名方式がメインネットで有効化されると、ウォレットは新しいアドレス形式と署名アルゴリズムを同期的にサポートする必要があります。このプロセスでは、ファームウェアのアップデートだけで済む場合もありますが、古いアドレスから新しい形式への資産移行が必要になる可能性もあります。現時点では、継続的なアップデート機能を備えたベンダーのウォレットを使用し、常に最新情報を把握しておくことが最善策です。

4️⃣ 取引所に保有されている資産

取引所はユーザーの介入を必要としません。技術的なアップグレードは各取引所のチームが行います。Coinbaseは既にQuantum諮問委員会を設立しており、他の主要な取引所も規制当局の圧力により同様の措置を取るでしょう。信頼できる取引所で保有している資産については、Quantumのアップグレードはユーザーにとって透過的です。