メインコンテンツまでスキップ

量子コンピューティング vs ビットコイン: タイムライン、脅威、そしてホルダーが知っておくべきこと

· 約 14 分
Dora Noda
Dora Noda
Software Engineer

Google の Willow 量子チップは、古典的なスーパーコンピュータで 10 𥝱(じょ)年かかる計算をわずか 5 分で解くことができます。一方で、理論上は量子コンピュータが解読可能なアドレスに、7,180 億ドル相当のビットコインが眠っています。パニックになるべきでしょうか? まだその必要はありませんが、時計の針は進んでいます。

ビットコインに対する量子脅威は、「もし起こったら」ではなく「いつ起こるか」の問題です。2026 年を迎えるにあたり、議論は冷ややかな懐疑論から本格的な準備へと移行しました。ここでは、すべてのビットコイン保有者が理解しておくべきタイムライン、実際の脆弱性、そしてすでに開発が進められている解決策について解説します。

量子脅威:数学的な分析

ビットコインのセキュリティは、2 つの暗号化の柱に基づいています。取引の署名に使われる楕円曲線デジタル署名アルゴリズム(ECDSA)と、マイニングやアドレスのハッシュ化に使われる SHA-256 です。これらはそれぞれ、異なるレベルの量子リスクに直面しています。

**ショアのアルゴリズム(Shor's algorithm)**は、十分に強力な量子コンピュータ上で実行されると、公開鍵から秘密鍵を導き出すことができます。これは、公開鍵が公開されているすべてのビットコインアドレスの鍵を実質的にこじ開けることができることを意味します。これが存亡に関わる脅威です。

**グローバーのアルゴリズム(Grover's algorithm)**は、ハッシュ関数に対する総当たり攻撃を二次関数的に高速化し、SHA-256 の実効強度を 256 ビットから 128 ビットに低下させます。これは懸念事項ではありますが、直ちに壊滅的な状況を招くものではありません。128 ビットのセキュリティは依然として非常に強固だからです。

重要な問いは、「ビットコインの ECDSA を破るためにショアのアルゴリズムを実行するには、何量子ビット(qubits)が必要か?」ということです。

見積もりは大きく異なります:

  • 保守的な予測: 2,330 個の安定した論理量子ビットで理論上 ECDSA を破ることが可能
  • 現実的な予測: 誤り訂正の必要性から、100 万〜1,300 万個の物理量子ビットが必要
  • サセックス大学の見積もり: 1,300 万個の量子ビットがあれば、1 日でビットコインの暗号を解読可能
  • 最も過激な見積もり: 3 億 1,700 万個の物理量子ビットがあれば、1 時間以内に 256 ビットの ECDSA キーを解読可能

Google の Willow チップは 105 量子ビットです。105 と 1,300 万の間の大きな隔たりが、専門家がまだパニックになっていない理由です。

現在地:2026 年の現状確認

2026 年初頭の量子コンピューティングの状況は以下の通りです。

現在の量子コンピュータは 1,500 物理量子ビットの閾値を超えつつありますが、エラー率は依然として高いままです。わずか 1 つの安定した論理量子ビットを作成するために、約 1,000 個の物理量子ビットが必要になります。AI を活用した最適化が進んだとしても、12 ヶ月で 1,500 個から数百万個の量子ビットに飛躍することは物理的に不可能です。

専門家によるタイムライン予測:

情報源予測
Adam Back(Blockstream CEO)20 〜 40 年
Michele Mosca(ウォータールー大学)2026 年までに根本的な暗号解読が起こる確率は 7 分の 1
業界のコンセンサスビットコイン解読能力の獲得まで 10 〜 30 年
米連邦政府の指令2035 年までに ECDSA を段階的に廃止
IBM のロードマップ2029 年までに 500 〜 1,000 個の論理量子ビットを実現

2026 年のコンセンサス:今年は量子による終末は訪れません。しかし、あるアナリストが述べたように、「2026 年に量子技術が暗号資産セキュリティ意識におけるトップクラスのリスク要因になる可能性は高い」のです。

7,180 億ドルの脆弱性:どのビットコインが危険か?

すべてのビットコインアドレスが等しく量子リスクにさらされているわけではありません。脆弱性は、公開鍵がブロックチェーン上に公開されているかどうかに完全に依存します。

高リスクなアドレス(P2PK - Pay to Public Key):

  • 公開鍵がオンチェーンで直接確認できる
  • ビットコインの初期(2009 〜 2010 年)のすべてのアドレスが含まれる
  • サトシ・ナカモトが保有すると推定される 110 万 BTC はこのカテゴリーに該当
  • 総露出額:約 400 万 BTC(供給量の 20%)

低リスクなアドレス(P2PKH、P2SH、SegWit、Taproot):

  • 公開鍵はハッシュ化されており、使用(送金)時にのみ公開される
  • 送金後にアドレスを再利用しない限り、公開鍵は隠されたままになる
  • 現代のウォレットのベストプラクティスは、自然に一定の量子耐性を提供している

重要な洞察:一度も送金に使ったことがないアドレスであれば、公開鍵は公開されていません。しかし、一度送金を行い、そのアドレスを再利用した瞬間、脆弱になります。

サトシのコインは独特のジレンマを突きつけています。 P2PK アドレスにある 110 万 BTC は、より安全な形式に移動することができません。移動させるには秘密鍵で署名する必要がありますが、サトシがそれを行うことができる、あるいは行うという証拠はありません。量子コンピュータが十分な能力に達した場合、それらのコインは世界最大の暗号資産の懸賞金となるでしょう。

「今収穫し、後で解読する」:影の脅威

たとえ量子コンピュータが今日ビットコインを破ることができなくても、敵対者はすでに明日に向けて準備を進めている可能性があります。

「今収穫し、後で解読する(Harvest Now, Decrypt Later)」戦略とは、現在ブロックチェーンから露出している公開鍵を収集して保存しておき、量子コンピュータが成熟するのを待つというものです。Q-デイ(Q-Day)が到来したとき、公開鍵のアーカイブを持つ攻撃者は、脆弱なウォレットから即座に資金を流出させることができます。

国家レベルの主体や高度な犯罪組織は、おそらくすでにこの戦略を実行しています。今日オンチェーンで公開されたすべての公開鍵は、5 〜 15 年後の潜在的な標的となります。

これは不都合な現実を突きつけています。公開されたすべての公開鍵のセキュリティ・タイマーは、すでに作動し始めているのかもしれません。

開発中のソリューション:BIP 360 と耐量子コンピューティング暗号 (PQC)

ビットコインの開発者コミュニティは Q-Day をただ待っているわけではありません。複数のソリューションが開発と標準化に向けて進展しています。

BIP 360:Pay to Quantum Resistant Hash (P2TSH)

BIP 360 は、量子耐性を持つビットコインへの重要な「第一歩」として、量子耐性のあるタップスクリプトネイティブ(tapscript-native)なアウトプットタイプを提案しています。この提案では 3 つの量子耐性署名手法の概要が示されており、ネットワークの効率を損なうことなく段階的な移行を可能にします。

2026 年までに、支持者たちは P2TSH の広範な採用を期待しており、ユーザーがプロアクティブに資金を量子安全なアドレスに移行できるようにすることを目指しています。

NIST 標準の耐量子アルゴリズム

2025 年現在、NIST(米国国立標準技術研究所)は 3 つの耐量子コンピューティング暗号標準を最終決定しました。

  • FIPS 203 (ML-KEM):鍵カプセル化メカニズム
  • FIPS 204 (ML-DSA/Dilithium):デジタル署名(格子ベース)
  • FIPS 205 (SLH-DSA/SPHINCS+):ハッシュベース署名

BTQ Technologies は、ECDSA 署名を置き換えるために ML-DSA を使用したビットコインの実装デモンストレーションをすでに行っています。彼らの Bitcoin Quantum Core Release 0.2 は、移行の技術的実現可能性を証明しています。

トレードオフの課題

Dilithium のような格子ベースの署名は、ECDSA 署名よりも大幅にサイズが大きく、潜在的に 10 〜 50 倍大きくなります。これはブロック容量とトランザクションのスループットに直接影響します。量子耐性を持つビットコインは、1 ブロックあたりのトランザクション処理数が少なくなり、手数料が増加し、小規模なトランザクションがオフチェーンに追いやられる可能性があります。

ビットコインホルダーが今すべきこと

量子脅威は現実のものですが、差し迫ったものではありません。以下は、ホルダーのプロフィールに応じた実践的なフレームワークです。

すべてのホルダー向け:

  1. アドレスの再利用を避ける:一度使用した(送金元となった)アドレスには二度とビットコインを送らないでください。
  2. 最新のアドレス形式を使用する:SegWit (bc1q) または Taproot (bc1p) アドレスは公開鍵をハッシュ化しています。
  3. 情報を常に更新する:BIP 360 の開発状況や Bitcoin Core のリリースをフォローしてください。

多額の保有者(1 BTC 以上)向け:

  1. アドレスを監査する:ブロックエクスプローラーを使用して、保有資産に P2PK 形式のものが含まれていないか確認してください。
  2. コールドストレージの更新を検討する:定期的に資金を新しいアドレスに移動させてください。
  3. 移行計画を文書化する:量子安全なオプションが標準となった際、どのように資金を移動させるかを把握しておいてください。

機関投資家向け:

  1. セキュリティ評価に量子リスクを含める:BlackRock は 2025 年のビットコイン ETF 申請書類に量子コンピューティングに関する警告を追加しました。
  2. NIST 標準と BIP の進展を監視する:将来の移行コストを予算に組み込んでください。
  3. カストディプロバイダーを評価する:量子移行のロードマップを持っているか確認してください。

ガバナンスの課題:ビットコイン特有の脆弱性

イーサリアム財団を通じてより中央集権的なアップグレードパスを持つイーサリアムとは異なり、ビットコインのアップグレードには広範な社会的合意が必要です。耐量子移行を強制する中央当局は存在しません。

これにより、いくつかの課題が生じます。

紛失・放置されたコインは移行できない。 推定 300 万 〜 400 万 BTC が永遠に失われています。これらのコインは無期限に量子脆弱な状態に留まり、量子攻撃が実行可能になった時点で、永続的に盗まれる可能性のあるビットコインのプールとなってしまいます。

サトシのコインが投げかける哲学的な問い。 コミュニティはサトシの P2PK アドレスを予防的に凍結すべきでしょうか? Ava Labs の CEO である Emin Gün Sirer はこれを提案していますが、これはビットコインの不変性の原則に根本から挑むことになります。特定のアドレスを凍結するためのハードフォークは、危険な前例を作ることになります。

調整には時間がかかる。 研究によると、すべての有効なウォレットの移行を含むフルネットワークアップグレードを実行するには、楽観的なシナリオでも少なくとも 76 日間の集中的なオンチェーンの努力が必要であるとされています。実際には、ネットワークの運用を継続しながらの移行には、数ヶ月から数年かかる可能性があります。

サトシ・ナカモトはこの可能性を予見していました。2010 年の BitcoinTalk の投稿で、彼は次のように書いています。「もし SHA-256 が完全に破られたら、トラブルが始まる前の正直なブロックチェーンがどれであったかについて何らかの合意に達し、それをロックして、新しいハッシュ関数でそこから継続することができると思う」

問題は、脅威が現実化する「後」ではなく「前」に、コミュニティがその合意を達成できるかどうかです。

結論:パニックにならず、緊急性を持って対応する

ビットコインを解読できる量子コンピューターが登場するのは、おそらく 10 〜 30 年先のことです。当面の脅威は低いです。しかし、準備不足がもたらす結末は壊滅的であり、移行には時間がかかります。

暗号資産(仮想通貨)業界の対応は、脅威に見合ったものであるべきです。つまり、事後対応的ではなく、慎重で技術的に厳密、かつ先端的であるべきです。

個人のホルダーにとって、やるべきことは明確です。最新のアドレス形式を使用し、再利用を避け、情報を得続けることです。ビットコインのエコシステムにとって、これからの 5 年間は、量子耐性ソリューションが必要になる前に実装し、テストするための極めて重要な時期となります。

量子の時計は刻々と進んでいます。ビットコインには時間がありますが、その時間は無制限ではありません。適応の時が来ています。

BlockEden.xyz は、25 以上のネットワークにわたってエンタープライズグレードのブロックチェーンインフラストラクチャを提供しています。暗号資産(仮想通貨)業界が量子時代に備える中、私たちは長期的なセキュリティを優先するプロトコルをサポートすることにコミットしています。API サービスを探索して、明日の課題に備えるネットワーク上で開発を始めましょう。

Share on Twitter