量子移行の問題: 1回の取引後にビットコインアドレスが安全ではなくなる理由
ビットコインのトランザクションに署名すると、公開鍵がブロックチェーン上に恒久的に公開されます。これまでの 15 年間、これは問題ではありませんでした。ビットコインを保護する ECDSA 暗号は、古典的なコンピュータでは計算上解読が不可能だからです。しかし、量子コンピュータがすべてを変えます。十分に強力な量子コンピュータ(Q-Day)が登場すると、公開された公開鍵から秘密鍵を数時間で再構築し、アドレスから資産を流出させることが可能になります。あまり認識されていない Q-Day の問題は、単なる「暗号のアップグレード」ではありません。署名済みのトランザクションを持つアドレスにある 665 万 BTC がすでに脆弱な状態にあり、その移行は企業の IT システムのアップグレードよりも指数関数的に困難であるということです。
イーサリアム財団による 200 万ドルの耐量子計算機研究賞と、2026 年 1 月の専用 PQ チームの結成は、「最優先の戦略的課題」となったことを示しています。これは将来の計画ではなく、緊急の準備です。Project Eleven は、耐量子暗号セキュリティに特化して 2,000 万ドルを調達しました。Coinbase は耐量子アドバイザリーボードを設立しました。Q-Day への競争はすでに始まっており、ブロックチェーンは、不変の履歴、分散型の調整、公開鍵が露出したアドレスに眠る 665 万 BTC といった、従来のシステムにはない独自の課題に直面しています。
公開鍵露出問題:なぜ署名後にアドレスが脆弱になるのか
ビットコインのセキュリティは、根本的な非対称性に依存しています。秘密鍵から公開鍵を導出するのは簡単ですが、その逆は計算上不可能です。ビットコインアドレスは公開鍵のハッシュであり、さらなる保護レイヤーを提供しています。公開鍵が隠されている限り、攻撃者は特定の鍵を標的にすることはできません。
しかし、トランザクションに署名した瞬間、公開鍵はブロックチェーン上で可視化されます。これは避けられないことです。署名の検証には公開鍵が必要だからです。資金を受け取るにはアドレス(公開鍵のハッシュ)で十分ですが、資金を使うには鍵を明かす必要があります。
古典的なコンピ�ュータはこの露出を悪用できません。ECDSA-256(ビットコインの署名方式)を破るには離散対数問題を解く必要があり、それには 2^128 回の演算が必要と推定されています。これは、スーパーコンピュータが数千年稼働しても不可能です。
量子コンピュータはこの前提を崩します。十分な量子ビットと誤り訂正を備えた量子コンピュータ上で動作するショアのアルゴリズムは、多項式時間で離散対数問題を解くことができます。推定では、約 1,500 個の論理量子ビットを持つ量子コンピュータがあれば、数時間で ECDSA-256 を解読できるとされています。
これにより、重大な脆弱性の窓(ウィンドウ)が生じます。一度アドレスからトランザクションに署名すると、公開鍵はオンチェーンで永久に公開されます。後に量子コンピュータが登場すると、過去に公開されたすべての鍵が脆弱になります。署名済みのトランザクションを持つアドレスに保持されている 665 万 BTC は、公開鍵が恒久的に露出した状態で Q-Day を待っていることになります。
トランザクション履歴のない新しいアドレスは、公開鍵が露出していないため、最初に使用するまで安全です。しかし、レガシーアドレス(サトシのコイン、初期採用者の保有分、署名履歴のある取引所のコールドストレージなど)は、時限爆弾のような状態です。
なぜブロックチェーンの移行は従来の暗号アップグレードよりも困難なのか
従来の IT システムも量子脅威に直面しています。銀行、政府、企業は、量子攻撃に脆弱な暗号を使用しています。しかし、彼らの移行パスは明確です。暗号アルゴリズムをアップグレードし、鍵を更新(ローテーション)し、データを再暗号化することです。費用がかかり複雑ではありますが、技術的には可能です。
ブロックチェーンの移行は、独自の課題に直面しています。
不変性: ブロックチェーンの履歴は永続的です。過去のトランザクションを遡って変更し、露出した公開鍵を隠すことはできません。一度公開されれば、数千のノードにわたって永遠に公開されたままになります。
分散型の調整: ブロックチェーンにはアップグレードを強制する中央当局がありません。ビットコインのコンセンサスには、マイナー、ノード、ユーザーの間での多数派の合意が必要です。耐量子移行のためのハードフォークを調整することは、政治的および技術的に複雑です。
後方互換性: 移行期間中、新しい耐量子アドレスはレガシーアドレスと共存する必要があります。これにより、2 つの署名方式、二重のアドレス形式、混合モードのトランザクション検証といったプロトコルの複雑さが生じます。
紛失した鍵と非アクティブなユーザー: 数百万 BTC が、鍵を紛失した人、亡くなった人、あるいは数年前に暗号資産を放棄した�人が所有するアドレスに眠っています。これらのコインは自発的に移行することができません。これらを脆弱なままにしておくのか、それともプロトコルが強制的に移行させ、アクセス権を失わせるリスクを取るのかという問題があります。
トランザクションサイズとコスト: 耐量子署名は ECDSA よりも大幅に大きくなります。署名サイズは、方式によって 65 バイトから 2,500 バイト以上に増加する可能性があります。これによりトランザクションデータが膨張し、手数料の上昇やスループットの制限を招きます。
コンセンサスによるアルゴリズムの選択: どの耐量子アルゴリズムを採用すべきか。NIST はいくつかを標準化しましたが、それぞれにトレードオフがあります。選択を誤れば、後に再移行が必要になるかもしれません。ブロックチェーンは、数十年にわたって安全性を維持できるアルゴリズムに賭ける必要があります。
イーサリアム財団の 200 万ドルの研究賞は、まさにこれらの問題を対象としています。ネットワークを壊さず、後方互換性を失わず、また署名の肥大化によってブロックチェーンが使用不能になることなしに、どのようにイーサリアムを耐量子暗号へと移行させるかという課題です。
665 万 BTC 問題:公開済みのアドレスに何が起きるのか?
2026 年時点で、少なくとも 1 回はトランザクションに署名したことがある、つまり公開鍵が露出しているアドレスには、約 665 万 BTC が保管されています。これはビットコインの総供給量の約 30 % に相当し、以下が含まれます:
サトシのコイン:ビットコインの創設者によってマイニングされた約 100 万 BTC は移動されないまま残っています。これらのアドレスの多くはトランザクションに署名したことがありませんが、初期のトランザクションによって鍵が露出しているものもあります。
初期アダプターの保有資産:1 コイン数セントの時代に蓄積した初期のマイナーやアダプターが保有する数千 BTC。多くのアドレスは休眠状態ですが、過去のトランザクション署名が存在します。
取引所のコールドストレージ:取引所は数百万 BTC をコールドストレージに保管しています。ベストプラクティスではアドレスをローテーションしますが、レガシーなコールドウォレットには、過去の集約トランザクションによって公開鍵が露出しているものがよくあります。
紛失したコイン:推定 300 万 〜 400 万 BTC が紛失しています(所有者の死亡、鍵の紛失、ハードドライブの廃棄など)。これらのアドレスの多くでも鍵が露出しています。
Q-Day(量子コンピュータが既存の暗号を破る日)に、これらのコインはどうなるのでしょうか?いくつかのシナリオが考えられます:
シナリオ 1 - 強制的な移行:ハードフォークによって、期限内に古いアドレスから新しい耐量子アドレスへコインを移動�することを義務付けます。移行されなかったコインは使用不能になります。これにより紛失したコインは「バーン(焼却)」されますが、ネットワークを量子攻撃による資産流出から守ることができます。
シナリオ 2 - 自発的な移行:ユーザーは自発的に移行しますが、公開済みの旧アドレスも有効なまま残ります。リスク:所有者が移行する前に、量子攻撃者が脆弱なアドレスから資金を盗み出す可能性があります。これにより「移行への競争」というパニックが引き起こされます。
シナリオ 3 - ハイブリッドアプローチ:耐量子アドレスを導入しつつ、後方互換性を無期限に維持します。脆弱なアドレスが Q-Day 以降に最終的に盗まれることを受け入れ、それを「自然淘汰」として扱います。
シナリオ 4 - 緊急凍結:量子攻撃を検知した時点で、緊急ハードフォークを介して脆弱なアドレスタイプを凍結します。移行の時間を稼ぐことができますが、ビットコインが拒絶する中央集権的な意思決定が必要になります。
どれも理想的ではありません。シナリオ 1 は正当に紛失した鍵を破壊します。シナリオ 2 は量子盗難を許容します。シナリオ 3 は数十億ドルの損失を受け入れます。シナリオ 4 はビットコインの不変性を損ないます。イーサリアム財団とビットコインの研究者たちは、遠い未来ではなく、今このトレードオフに取り組んでいます。
耐量子アルゴリズム:技術的ソリューション
いくつかの耐量子暗号アルゴリズムが、量子攻撃への耐性を提供します:
ハッシュベース署名(XMSS, SPHINCS+):ハッシュ関数に依存するセキュリティで、量子耐性があると考えられています。利点:理解が進んでおり、保守的なセキュリティ前提に基づいています。欠点:署名サイズが大きく(2,500 バイト以上)、トランザクションコストが高くなります。
格子暗号(Dilithium, Kyber):量子コンピュータにとって困難な格子問題に基づいています。利点:署名サイズが比較的小さく(約 2,500 バイト)、検証が効率的です。欠点:ハッシュベースの手法に比べて新しく、十分に検証されていません。
STARKs(Scalable Transparent Arguments of Knowledge):数論ではなくハッシュ関数に依存するため、量子攻撃に耐性があるゼロ知識証明です。利点:透明性(信頼できるセットアップが不要)、量子耐性、スケーラビリティ。欠点:証明サイズが大きく、計算負荷が高いです。
多変数公衆鍵暗号(Multivariate cryptography):多変数多項式方程式の解法の困難さに依存します。利点:署名生成が高速です。欠点:公開鍵のサイズが大きく、未成熟です。
コードベース暗号:誤り訂正符号に基づいています。利点:高速で、研究が進んでいます。欠点:鍵サイズが非常に大きく、ブロックチェーンでの利用には不向きです。
イーサリアム財団は、ブロックチェーンへの統合に最も有望なものとして��、ハッシュベースと格子ベースの署名を調査しています。QRL(Quantum Resistant Ledger)は 2018 年に XMSS 実装を先駆けて行い、実現可能性を示しましたが、トランザクションサイズとスループットのトレードオフを受け入れています。
ビットコインは、その保守的なセキュリティ哲学から、ハッシュベース署名(SPHINCS+ または類似のもの)を選択する可能性が高いでしょう。イーサリアムは、サイズのオーバーヘッドを最小限に抑えるために格子ベース(Dilithium)を選択するかもしれません。どちらも同じ課題に直面しています。ECDSA よりも 10 〜 40 倍大きな署名は、ブロックチェーンのサイズとトランザクションコストを急増させます。
タイムライン:Q-Day まであとどのくらいか?
Q-Day(量子コンピュータが ECDSA を破る日)の予測は推測の域を出ませんが、傾向は明らかです:
楽観的(攻撃者にとって)なタイムライン:10 〜 15 年。IBM、Google、およびスタートアップ企業は、量子ビット数とエラー訂正において急速な進歩を遂げています。この進歩が指数関数的に続けば、2035 年 〜 2040 年までに 1,500 以上の論理量子ビットが登場する可能性があります。
保守的なタイムライン:20 〜 30 年。量子コンピューティングは、エラー訂正、量子ビットのコヒーレンス、スケーリングなど、膨大なエンジニアリング上の課題に直面しています。実用的な攻撃はまだ数十年先だと考える人は多いです。
悲観的(ブロックチェーンにとって)なタイムライン:5 〜 10 年。政府の秘密プログラムや画期的な発見がタイムラインを加速させる可能性があります。慎重な計画を立てるなら、長いタイムラインではなく、短いタイムラインを想定すべきです。
イーサリアム財団が 2026 年 1 月に耐量子移行を「最優先の戦略的課題」として扱っていることは、内部の推測が公開されている議論よりも短いことを示唆しています。30 年後のリスクのために 200 万ドルを割り当て、専用チームを編成することはありません。10 〜 15 年後のリスクであれば、そうするでしょう。
ビットコインの文化は緊急性に抵抗しますが、主要な開発者は問題を認識しています。耐量子ビットコインの提案(BIP 草案段階)は存在しますが、コンセンサスの形成には何年もかかります。もし Q-Day が 2035 年に到来するのであれば、ビットコインは開発、テスト、ネットワーク展開の時間を確保するために、2030 年までに移行を開始する必要があります。
個人ができること
プロトコルレベルの解決策の実現にはまだ数年かかりますが、個人レベルでリスクへの露出を減らすことは可能です。
定期的に新しいアドレスへ移行する: アドレスから資金を支払った後は、残りの資金を新しいアドレスに移動させてください。これにより、公開鍵が公開される時間を最小限に抑えることができます。
マルチシグ(マルチシグネチャ)ウォレットを使用する: 量子コンピュータは複数の署名を同時に突破する必要があるため、難易度が上がります。完全に耐量子性(量子耐性)があるわけではありませんが、時間を稼ぐことができます。
アドレスの再利用を避ける: 一度支払いに使用したアドレスには、決して資金を送らないでください。支払うたびに公開鍵が新たに公開されてしまいます。
動向を監視する: Ethereum Foundation の耐量子(PQ)研究、Coinbase のアドバイザリーボードの更新、および耐量子暗号に関連する Bitcoin 改良提案(BIP)をフォローしてください。
資産を分散する: 量子リスクが懸念される場合は、量子耐性のあるチェーン(QRL)や、比較的影響の少ない資産(プルーフ・オブ・ワークよりも移行が容易なプルーフ・オブ・ステークのチェーンなど)に分散してください。
これらはあくまで応急処置であり、根本的な解決策ではありません。プロトコルレベルでの修正には、数十億ドルの価値と数百万人ものユーザーにわたる、協調的なネットワークのアップグレードが必要です。この課題は単に技術的なものだけでなく、社会的、政治的、そして経済的なものでもあります。