著者: ナンシー、PANews

量子攻撃は長らくビットコインをめぐる議論の一部となってきました。かつてこの脅威は、主に理論上のブラックスワンイベントとして捉えられていました。しかし、量子コンピューティング技術の急速な進歩により、この議論は変化しつつあるようです。

最近、キャッスル・アイランド・ベンチャーズの共同創業者であるニック・カーター氏は、量子コンピューティングはビットコインを解読するのに「技術的問題」に過ぎないと主張する記事を執筆しました。この主張はコミュニティ内で議論を巻き起こし、意図的にパニックを煽っていると非難する声がある一方で、これは対処すべき差し迫った存亡の危機を示唆していると考える声もあります。一方、多くの暗号資産プロジェクトは既に予防措置を講じており、量子攻撃に対する防御策を積極的に検討・導入しています。

量子攻撃警報がエスカレート？プロトコルの改訂には10年かかる可能性も。

量子コンピューティングがビットコインに及ぼす脅威は、新しい話題ではありません。量子コンピューティング技術の近年の急速な進歩により、この問題は再び最前線に浮上しました。例えば、Googleが最近発表した量子プロセッサは、特定のタスクにおける計算速度において、世界最強のスーパーコンピュータを実証的に凌駕しています。このようなブレークスルーはビットコインを直接脅かすものではありませんが、そのセキュリティに関する議論を激化させています。

先週末、ビットコイン支持者のニック・カーター氏は、ビットコイン開発者らが夢遊病状態でシステムの崩壊につながる恐れのある危機に向かっていると非難する長文の記事を公開した。

この記事の核心は、ビットコインの基盤となる楕円曲線暗号（ECC）が、コンピュータ科学者ピーター・ショア氏が提案したアルゴリズムによって理論上は解読可能であるという点です。サトシ・ナカモトはビットコインの設計時にこの点を考慮し、量子コンピューティングが十分に強力になった時点でアップグレードする必要があると考えました。現在の量子コンピューティングの性能は理論上の閾値を突破するにはまだ数桁ほど遠いものの、量子技術のブレークスルーは加速しています。著名な量子理論家スコット・アーロンソン氏は、これを新たな基礎物理学の発見を必要とする問題ではなく、「極めて困難な工学的問題」と表現しています。今年、量子分野は誤り訂正技術と投資において大きな進歩を遂げ、NIST（米国国立標準技術研究所）などの機関は、2030年から2035年の間に既存の暗号化アルゴリズムを放棄するよう呼びかけています。

カーター氏は、現在約670万BTC（6,000億ドル以上相当）が量子攻撃のリスクに直接さらされていると指摘する。さらに問題なのは、この中にはサトシ・ナカモトと初期マイナーのP2PKアドレスに属する約170万BTCが含まれており、これらは「永久損失」状態にあることだ。ビットコインが量子耐性にアップグレードされたとしても、これらの未請求の「ゾンビコイン」は移行できない。そうなると、コミュニティは残酷なジレンマに直面することになる。ハードフォークによってこれらの資産を強制的に凍結し、「私有財産の不可侵性」という絶対的な信条に違反して信仰の危機を引き起こすか、量子攻撃者がこれらのコインを盗み出し、最大保有者となって市場崩壊を招くかのどちらかだ。

理論上、ビットコインはソフトフォークを経て耐量子（PQ）署名方式を採用することが可能です。現在、耐量子暗号署名方式はいくつか存在します。しかし、主な問題は、具体的な耐量子方式の決定、ソフトフォークの実施、そして残高を持つ数千万のアドレスの移行という骨の折れる作業にあります。SegWitやTaprootのアップグレードの軌跡を例に挙げると、耐量子暗号への移行に関する議論、開発、そして合意形成には最大10年かかる可能性があり、これは致命的な遅延となります。カーター氏は、開発者たちが重大な戦略的誤算を犯したと批判しています。過去10年間、ライトニングネットワークのスケーリングや些細な議論に膨大なリソースが浪費され、ブロックサイズやスクリプトの些細な変更に対しては極端で偏執的な警戒を示しながら、システムを壊滅させかねないこの脅威に対しては、不可解な無関心と無関心を示してきました。

対照的に、イーサリアムやその他のパブリックブロックチェーンは、より柔軟なガバナンスメカニズムや事前の耐量子テスト実施により、ビットコインよりもはるかに高い耐性を備えています。カーター氏は最後に、この「見過ごされがちな問題」が無視され続けると、危機発生時の性急なパニック反応、緊急フォーク、さらにはコミュニティ間の内戦によって、量子攻撃そのものよりもさらに急速にビットコインへの組織的信頼が破壊される可能性があると警告しています。

カーター氏の発言はコミュニティで瞬く間に議論を巻き起こした。ビットコイン・コアの開発者であるジェイムソン・ロップ氏は、「私は18ヶ月間、量子コンピューティングがビットコインにもたらすリスクについて公に議論してきました。私の結論は、量子コンピューティングの開発が停滞、あるいは衰退することを心から願うということです。なぜなら、ビットコインをポスト量子時代に適応させることは、様々な理由から非常に困難だからです。量子コンピューターは短期的にはビットコインを混乱させることはありません。私たちは引き続きその開発状況を注視していきます。しかし、プロトコルへの思慮深い変更（そして前例のない資金の移行）には、5年から10年かかる可能性があります。最善を期待しつつ、最悪の事態にも備えるべきです。」と反論した。

しかし、この見解は大きな論争を巻き起こしました。例えば、BlockstreamのCEOであるアダム・バック氏は、量子コンピューティングがビットコインに及ぼす潜在的な脅威についてカーター氏が懸念を誇張していると批判しました。ビットコイン専門家のプレディター氏は、カーター氏が自身のファンド（キャッスル・アイランド・ベンチャーズ）で、ブロックチェーンを量子耐性アーキテクチャに移行するためのツールを販売するスタートアップ企業に投資していることから、カーター氏は意図的に不安を煽っていると述べています。

時間の判断、技術的解決策、実際のアプリケーションなど、さまざまな観点から見た量子の課題。

量子コンピューティングがビットコインのセキュリティを脅かすかどうかについては、ビットコインのOG、ベンチャーキャピタリスト、資産運用会社、そして実務家たちがそれぞれ異なる評価を示しています。差し迫ったシステムリスクをもたらすと考える人もいれば、過大評価された技術バブルと見なす人もいます。さらに、量子コンピューティングの脅威はビットコインの価値を高める可能性があると主張する人もいます。

一般投資家にとって、核心的な疑問はただ一つ、「脅威はいつ到来するのか」ということだ。現在、業界における主流の見解は、短期的にはパニックになる必要はないが、長期的なリスクは現実のものとなっている。

Grayscaleは「2026年デジタル資産展望」の中で、量子コンピュータの脅威は現実のものだが、2026年の市場にとっては単なる「誤報」であり、短期的な評価には影響しないと明言した。F2Poolの共同創設者であるWang Chun氏は、量子コンピューティングは依然として「バブル」であり、ムーアの法則に従ったとしても、ビットコインの暗号化規格（secp256k1）を実質的に解読するには30年から50年かかると率直に述べた。a16zもレポートの中で、2030年までに現代の暗号化システムを解読できるコンピュータが登場する可能性は極めて低いと指摘した。初期のビットコイン支持者であるAdam Back氏も楽観的な見方を示しており、ビットコインは少なくとも20年から40年間は安全であり、NIST（米国国立標準技術研究所）が耐量子暗号規格を承認しているため、ビットコインには十分なアップグレード時間があると考えている。

しかし、暗号資産運用会社カプリオール・インベストメントの創業者チャールズ・エドワーズ氏は、脅威は一般に認識されているよりも近いと警告し、コミュニティに対し2026年までに防御システムを構築するよう促した。さもなければ、量子競争で出遅れるとビットコインの価値が「ゼロ」になる可能性がある。

量子攻撃が発生した場合、リスクの大きさはビットコインの保管方法と保有期間によって異なります。ビットコインの長期保有者であるウィリー・ウー氏とデロイトは共に、P2PK（直接公開鍵、現在約171万8000BTCを保有）アドレスが最も大きな打撃を受けると指摘しています。これは、初期のビットコインアドレス（サトシ・ナカモトが使用したものなど）は、送金または受取時に完全な公開鍵をオンチェーンで直接公開していたためです。理論上、量子コンピュータは公開鍵から秘密鍵を推測できます。防御が突破されると、これらのアドレスが最初に影響を受けます。資産が時間内に移転されなければ、「標的型ワイプ」される可能性があります。

ウィリー・ウー氏は、新しいタイプのビットコインアドレスは、完全な公開鍵をオンチェーンで公開しないため、量子攻撃に対する脆弱性が低いと付け加えた。公開鍵が不明な場合、量子コンピュータは対応する秘密鍵を生成できない。したがって、大多数の一般ユーザーの資産が直ちに危険にさらされることはないだろう。しかし、量子パニックによって市場がフラッシュクラッシュした場合、ビットコインOGにとって市場参入の好機となるだろう。

技術的な観点からは、量子耐性署名へのアップグレードなどのソリューションがすでに市場に存在していますが、前述のように実装の難しさが問題となっています。

a16zは最近、ビットコインが現実世界で2つの大きなジレンマに直面していると指摘した。1つ目は、非効率的なガバナンスだ。アップグレードが非常に遅く、コミュニティが合意に至らなければ破壊的なハードフォークにつながる可能性がある。2つ目は、積極的な移行の欠如だ。アップグレードは受動的に完了することができないため、ユーザーは資産を新しいアドレスに能動的に移転する必要がある。これは、多くの休眠コインが保護を失うことを意味する。現在、時価総額は数千億ドルに上るビットコインが量子攻撃に対して脆弱であり、放棄される可能性があると推定されている。

カルダノ創設者のチャールズ・ホスキンソン氏は、量子耐性暗号の本格導入は法外な費用がかかると付け加えた。量子耐性暗号方式は2024年に米国国立標準技術研究所（NIST）によって標準化されたが、ハードウェアアクセラレーションのサポートがなければ、その計算コストとデータ規模によってブロックチェーンのスループットが大幅に低下し、約1桁のパフォーマンス損失につながる可能性がある。ホスキンソン氏は、量子コンピューティングのリスクが実用的な段階に達しているかどうかの評価は、DARPAの量子ベンチマークプログラム（2033年に実現可能性を評価する予定）にもっと依存すべきだと指摘した。暗号アルゴリズムの全面的な置き換えは、科学界が量子ハードウェアが破壊的計算を安定的に実行できることを確認した場合にのみ、緊急に必要となる。時期尚早な対応は、未熟な技術のために希少なオンチェーンリソースを浪費するだけだ。

ストラテジーの共同創設者であるマイケル・セイラー氏もこの意見に賛同し、プロトコルへのいかなる変更にも細心の注意を払うべきだと主張した。セイラー氏は、ビットコインの本質は通貨プロトコルであり、急速な変化や頻繁な反復がないことが弱点ではなく、まさに強みであると述べた。したがって、ビットコインのプロトコルの変更は極めて保守的であり、世界的な合意を確保する必要がある。「ビットコインネットワークを混乱させたい場合、最も効果的な方法の一つは、非常に才能のある開発者グループに無制限の資金を与え、継続的に改善させることです。」

セイラー氏はまた、ネットワークが最終的にアップグレードされるにつれて、アクティブなビットコインはセキュアアドレスに移行し、秘密鍵を失ったビットコインや操作不能なビットコイン（量子コンピュータによってロックされたものを含む）は永久に凍結されると述べた。これによりビットコインの実効供給量は減少し、ビットコインの価値はさらに高まるだろう。

理論から実践まで、パブリックブロックチェーンは量子防御キャンペーンを開始します。

量子嵐はまだ到来していないものの、パブリックブロックチェーンはすでに防衛戦を開始している。

ビットコインコミュニティでは、12月5日、Blockstreamの研究者であるミハイル・クディノフ氏とジョナス・ニック氏が改訂版論文を発表し、ハッシュベースの署名技術が1.8兆ドル規模のビットコインブロックチェーンを量子コンピュータの脅威から守る重要な解決策となり得ると提言しました。研究者たちは、ハッシュベースの署名は、そのセキュリティがビットコインの設計に既に存在するハッシュ関数の仮定に類似したメカニズムに完全に依存しているため、強力なポスト量子ソリューションであると主張しています。この方式は、米国国立標準技術研究所（NIST）におけるポスト量子標準化プロセスにおいて広範な暗号解読を受けており、その堅牢性の信頼性を高めています。

イーサリアムは、将来の量子コンピューティングの脅威に対処するため、特にスプルージフェーズの主要目標として、耐量子暗号（PQC）を長期ロードマップに組み込んでいる。この戦略では、階層的なアップグレードアプローチを採用し、L2を量子耐性アルゴリズムを実行するテストサンドボックスとして活用する。候補となる技術には、格子ベースとハッシュベースの暗号があり、L1のセキュリティを保護しながらスムーズな移行を保証する。最近、イーサリアムの共同設立者であるヴィタリック・ブテリンは、量子コンピュータが2028年までにイーサリアムの楕円曲線暗号を破る可能性があるという警告を改めて表明した。彼は、ネットワークセキュリティを保護するために4年以内に量子耐性暗号にアップグレードするようイーサリアムコミュニティに促し、イノベーションはコアプロトコルの頻繁な変更ではなく、レイヤー2ソリューション、ウォレット、プライバシーツールに焦点を当てるべきだと提案した。

新興のパブリックブロックチェーンも、耐量子ソリューションを優先しています。例えば、 Aptosは最近、耐量子署名を導入するための改良提案AIP-137を発表しました。この提案は、量子コンピューティングの発展が既存の暗号化メカニズムにもたらす可能性のある長期的なリスクに対処するため、アカウントレベルで耐量子デジタル署名をサポートすることを目的としています。このソリューションはオプションとして導入され、既存のアカウントには影響しません。提案によると、AptosはFIPS 205として標準化されているハッシュベースの署名方式SLH-DSAをサポートする予定です。

Solana財団は先日、耐量子セキュリティ企業Project Elevenとの提携を発表し、 Solanaネットワークの耐量子セキュリティアーキテクチャの進化を目指しています。この提携の一環として、Project ElevenはSolanaエコシステムにおける包括的な量子脅威評価を実施し、コアプロトコル、ユーザーウォレット、バリデータセキュリティ、長期的な暗号学的前提を網羅しました。また、耐量子デジタル署名を用いたSolanaテストネットのプロトタイプ構築と展開にも成功し、エンドツーエンドの耐量子トランザクションの実現可能性と拡張性を実環境下で検証しました。

Cardanoは現在、将来の量子コンピューティングの脅威に対処するため、段階的なアプローチを採用しています。例えば、Mithrilプロトコルを用いてブロックチェーンの耐量子チェックポイントを確立し、メインネットの現在のパフォーマンスに影響を与えることなく冗長性を高めています。ハードウェアが高速化し成熟すると、耐量子ソリューションはVRFと署名の完全な置き換えを含め、メインチェーンに段階的に統合されます。このアプローチは、嵐が来る前に船全体を低速で不活性な鋼鉄の要塞に変えてしまうのではなく、まず救命ボートを甲板に置き、実際に嵐が発生したかどうかを観察するようなものです。

Zcash は、ユーザーが古い資産をより安全なポスト量子モデルに移行できるようにする量子回復可能なメカニズムを開発しました。

まとめると、量子危機はまだ現実には至っていないものの、その技術進化の加速は否定できない事実です。暗号資産プロジェクトは防御戦略に取り組まなければならず、より多くのパブリックチェーンがこの戦いに加わることが予想されます。