メインコンテンツまでスキップ

ARK Invest がビットコインの量子脅威を数値化:供給量の 34.6% がリスクにさらされているが、刻限はまだ来ていない

· 約 14 分
Dora Noda
Dora Noda
Software Engineer

ARK Invest と Unchained による共同ホワイトペーパーは、これまで誰もこの規模で成し遂げられなかったことを実現しました。それは、ビットコインが量子コンピューティングの攻撃にどの程度さらされているかを、正確な数値で示したことです。その結果 — 総供給量の 34.6 %、現在の価格で約 2,400 億ドル — は、驚異的であると同時に安心感を与えるものでもあります。これまで漠然とした仮説として片付けられていたものを数値化したという点では驚異的ですが、このレポートはまた、残りの 65.4 % の BTC は量子コンピュータでも解読できない暗号ハッシュによって安全に守られており、業界には準備のためにおそらく 10 年の猶予があることも証明しています。

量子脅威の 5 つの段階

量子リスクを 2 進数的なオン / オフのスイッチとして扱うのではなく、ARK と Unchained は、量子コンピューティングが研究室の好奇心の対象から暗号化の武器へと進化する過程をマッピングした 5 段階のフレームワークを導入しています。

ステージ 1 — 商業的有用性 (今日): 量子コンピュータは、製薬、物流、材料科学の最適化やシミュレーションの問題を解決します。暗号学的な関連性はありません。これが 2026 年現在の状況です。

ステージ 2 — 暗号学的関連性 (早期警戒): 量子マシンが、小さなキーサイズや非推奨のアルゴリズムといった、おもちゃのような暗号問題を解き始めます。ビットコインの secp256k1 楕円曲線は手つかずのままですが、破綻への予兆が見え始めます。

ステージ 3 — ECC の脆弱性 (最初の現実的なリスク): ショアのアルゴリズムを実行する量子コンピュータが、既知の公開鍵から秘密鍵を導出できるようになります。ただし、その速度はまだ遅いものです。この段階では、攻撃者が 1 つの鍵を解読するのに数日または数週間かかる可能性があります。公開鍵を公開しているビットコインアドレスは脆弱になりますが、ほとんどのターゲットに対して攻撃は非現実的です。

ステージ 4 — ブロック生成時間未満でのクラッキング (重大な閾値): 量子マシンが、ビットコインの 10 分間のブロック生成時間よりも早く秘密鍵を解読します。これが、ビットコインの通貨システムが存亡の危機に直面するポイントです。攻撃者はメムプール内のトランザクションを確認し、送信者の公開鍵を抽出し、秘密鍵を導出して、元のトランザクションが承認される前に競合するトランザクションをブロードキャストできるようになります。

ステージ 5 — 暗号の崩壊: 量子コンピュータがほぼ瞬時に鍵を解読します。耐量子防衛策がなければ、ビットコインのセキュリティモデルは完全に崩壊します。

ARK の予測では、早くても 2030 年代半ばまではステージ 3 に到達しません。Google の 105 キュビットの Willow チップや IBM の 1,386 キュビットの Kookaburra など、今日の最も先進的な量子プロセッサは、ビットコインの暗号を 1 日以内に解読するために必要と推定される 1,300 万論理キュビットを数桁下回っています。

具体的に何が脆弱なのか?

34.6 % という数字は、それぞれ異なるリスクプロファイルを持つ 3 つのカテゴリの露出したビットコインに分類されます。

レガシー P2PK アウトプット (約 170 万 BTC): 初期のビットコインのトランザクションでは、生の公開鍵をブロックチェーンに直接保存する Pay-to-Public-Key (P2PK) スクリプトが使用されていました。今日、誰でもこれらの公開鍵を読み取ることができます。このカテゴリには、サトシ・ナカモトの推定 110 万 BTC — 2009 年から 2010 年の間にマイニングされ、一度も移動されていないコイン — が含まれます。これらは公開鍵が永続的に可視化されているため、量子攻撃者が無制限に時間をかけて作業できる最も脆弱なアドレスです。

再利用されたアドレス (約 500 万 BTC): ユーザーがアドレスから送金すると、トランザクションによって公開鍵が明らかになります。その後、そのアドレスが追加の資金を受け取った場合、それらの新しいコインは露出した鍵の背後に置かれることになります。アドレスの再利用は、ビットコインのベストプラクティスでは以前から推奨されていませんが、量子脆弱性のある供給量の最大の割合を占めています。

Taproot P2TR アウトプット (約 20 万 BTC): Taproot のキーパス・スペンディング・メカニズムも、十分に強力な量子コンピュータが悪用できる形で公開鍵を露出させます。Taproot はビットコインの最新のアドレス形式ですが、その設計は耐量子性よりも効率性とプライバシーを優先していました。

安全なもの

ビットコイン供給量の残りの 65.4 % は、ハッシュ化されたアドレス形式 — 主に P2PKH (Pay-to-Public-Key-Hash) と P2SH (Pay-to-Script-Hash) — に保管されています。これらは、資金が使用される瞬間まで、公開鍵が SHA-256 および RIPEMD-160 ハッシュの背後に隠されています。量子コンピュータは、ショアのアルゴリズムを介して楕円曲線暗号を破ることに長けていますが、グローバーのアルゴリズムを介したハッシュ関数に対しては、二次的な高速化しか提供しません。グローバーのアルゴリズムで SHA-256 を破るには、依然として約 2^128 回の演算が必要であり、この数値は膨大であるため、量子マシンであっても事実上不可能です。

重要な洞察は、標準的なハッシュ化されたアドレスにビットコインを保持し、一度も送金したことがない場合、現実的なタイムラインのすべてにおいて、あなたのコインは量子的に安全であるということです。

BIP-360:ビットコイン初の量子防衛提案

このホワイトペーパーでは、耐量子性へのビットコインの最初の具体的なステップとして BIP-360 — 現在は Pay-to-Merkle-Root (P2MR) に改名 — を強調しています。もともとは一般化される前に P2QRH (Pay-to-Quantum-Resistant-Hash) として提案されていた BIP-360 は、Taproot のキーパス・スペンディングの脆弱性を取り除く新しいアウトプットタイプを導入します。

BIP-360 が行うことと行わないことは以下の通りです。

行うこと:

  • Taproot トランザクションで公開鍵を露出させるキーパス・スペンドを削除する
  • すべての支出条件をメルクルツリー・コミットメントの背後に保つ Pay-to-Merkle-Root (P2MR) アウトプットを導入する
  • 将来のソフトフォークを通じて、ポスト量子署名スキームをプラグインできるフレームワークを作成する
  • SegWit や Taproot の採用パターンに従い、後方互換性のあるソフトフォークとして展開できる

行わないこと:

  • それ自体がポスト量子デジタル署名を追加するわけではない — これには別途アップグレードが必要
  • すでに露出している P2PK や再利用されたアドレスを保護するわけではない
  • 強制的な移行は行わない。既存のアドレスタイプは引き続き機能する

実用的な意味合いとして、BIP-360 は完全な解決策ではなく、必要なインフラです。これにより、最終的にどの特定のアルゴリズム (ML-DSA、SLH-DSA など) が採用されるかを強制することなく、ビットコインのアドレスアーキテクチャをポスト量子署名に備えさせることができます。

耐量子署名を巡る競争

NIST は 2024 年 8 月に、最初の 3 つの耐量子暗号(PQC)標準を最終決定しました:

  • ML-KEM (FIPS 203): CRYSTALS-KYBER から派生した格子ベースの鍵カプセル化
  • ML-DSA (FIPS 204): CRYSTALS-Dilithium から派生した格子ベースのデジタル署名
  • SLH-DSA (FIPS 205): SPHINCS+ から派生したステートレスなハッシュベースの署名

ビットコインにとって最も重要なのは署名標準です。ARK と Unchained のホワイトペーパーでは、ソフトフォークによるアップグレードを通じて ML-DSA または SLH-DSA を統合することを推奨しています。それぞれにトレードオフがあります:

ML-DSA は署名サイズが小さく(約 2.4 KB)、検証が高速であるため、ビットコインの帯域幅制約においてより実用的です。しかし、格子ベースの暗号は比較的新しく、その長期的なセキュリティ上の仮定は十分に検証されているとは言えません。

SLH-DSA はハッシュ関数に依存しています。これは、ビットコイン供給量の 65.4% をすでに保護しているものと同じ数学的プリミティブです。保守的で十分に理解されていますが、署名サイズがはるかに大きく(パラメータに応じて約 8 ~ 40 KB)、ビットコインのトランザクションを大幅に増大させる可能性があります。

BTQ Technologies は、自社の「Bitcoin Quantum Core Release 0.2」において、脆弱な ECDSA 署名を ML-DSA に置き換えるビットコインの実装コンセプト(PoC)をすでにデモンストレーションしています。しかし、テストネットのデモからネットワーク全体のコンセンサスへと移行するには、数年にわたるレビュー、テスト、そして社会的調整が必要となります。

ビットコインとイーサリアムのアプローチの比較

ビットコインが BIP-360 や将来の署名アップグレードを通じて計画的に耐量子性の構築を進めている一方で、イーサリアムはより積極的なタイムラインを採用しています。ヴィタリック・ブテリン(Vitalik Buterin)氏は 2026 年 2 月に、いくつかの並行トラックを含む耐量子防御ロードマップを発表しました:

  • EIP-8141 は、ウォレットを変更することなく、アカウントが耐量子署名を含む署名スキームを切り替えることを可能にします。ブテリン氏は、これが 2026 年後半の Hegotá ハードフォークで導入されることを確認しました。
  • 2026 年 1 月に設立された専任の耐量子セキュリティチームが、BLS バリデータ署名のハッシュベースへの置き換えを研究しています。
  • ETH2030 ロードマップは、6 つの署名スキームと再帰的 STARK 集約による完全な耐量子性の実現を目指しています。

アプローチの違いは、各ネットワークの哲学を反映しています。ビットコインは慎重さと後方互換性を優先しており、いかなる変更も圧倒的なコンセンサスを獲得し、ソフトフォークとして展開可能でなければなりません。イーサリアムは、ハードフォーク文化とアカウント抽象化を活用して暗号プリミティブをより積極的に入れ替え、より速いスピードで動いています。

どちらのアプローチが厳密に優れているということはありません。ビットコインの保守的な道筋は、急ぎすぎたアップグレードによる新たな脆弱性の導入リスクを低減します。イーサリアムの速いペースは、耐量子保護がより早く実現することを意味しますが、実装リスクも大きくなります。

ビットコイン保有者が今日すべきこと

ARK/Unchained のホワイトペーパーは警鐘を鳴らしてはいますが、基本的には楽観的です。量子の脅威は現実のものですが、まだ先の話であり、ビットコインのオープンソース開発プロセスには防御策を実装する時間があります。それでも、個々の保有者は今すぐ対策を講じることができます:

  1. アドレスの再利用を止める。 アドレスから支払いを行うたびに、公開鍵が公開されます。すべてのトランザクションに新しい受信用アドレスを使用してください。これはすでにベストプラクティスとなっています。

  2. レガシーな P2PK 出力からコインを移動する。 非常に古いアドレス形式(「04」で始まるものや非圧縮公開鍵)でビットコインを保有している場合は、現代的な P2SH または P2WPKH アドレスに送金してください。

  3. BIP-360 の開発を監視する。 アップグレードがアクティベートされたら、P2MR 出力に移行してください。これは現時点では緊急ではありませんが、量子ハードウェアが進歩するにつれて重要性が増していきます。

  4. サトシのコインについてパニックにならない。 初期の P2PK アドレスにある 110 万 BTC は移動できません(鍵が紛失していると想定されます)。もし量子コンピュータがそれらの鍵を解読したとしても、コミュニティが直面するのは技術的な問題ではなく、ガバナンスの問いとなるでしょう。

大きな展望

ARK/Unchained のホワイトペーパーが発表されたのは、量子コンピューティングの議論がサイエンスフィクションから戦略的計画へと移行したタイミングです。Google の Willow チップは 2024 年に閾値以下のエラー訂正を証明しました。IBM のマルチプロセッサ量子システムは 4,000 量子ビットを超えようとしています。NIST の耐量子標準はインターネットインフラ全体に導入されており、Chrome と Android は 2026 年半ばまでにデフォルトで耐量子 TLS を採用する予定です。

ビットコインの 34.6% という脆弱性の窓は、行動を求めるには十分大きく、かつ解決可能なほど小さいものです。5 段階のフレームワークは、進捗を追跡するための共通言語をエコシステムに提供します。BIP-360 は建築的な基盤を提供し、NIST 標準は暗号化ツールを提供します。

問題は、ビットコインが耐量子になるかどうかではなく、第 3 段階が到来する前にコミュニティが必要なアップグレードを調整できるかどうかです。SegWit や Taproot、そしてそれ以降の、ビットコインの秩序あるコンセンサス主導の進化の実績を考えれば、破滅よりも準備が整う可能性の方が高いでしょう。

時計の針はまだ動き始めていません。しかし、私たちは初めて、何をカウントダウンしているのかを正確に理解したのです。

BlockEden.xyz は、複数のチェーンにわたってエンタープライズグレードのブロックチェーン API サービスとノードインフラストラクチャを提供しています。業界がポスト量子への移行に備える中で、信頼性の高いインフラストラクチャはさらに重要になります。API マーケットプレイスを探索して、永続するように設計された基盤の上に構築を始めましょう。

Share on Twitter