メインコンテンツまでスキップ

Web3 における量子アポカリプスのタイムライン:Q-Day を生き残るブロックチェーンはどれか?

· 約 14 分
Dora Noda
Dora Noda
Software Engineer

調査対象の暗号学専門家の 3 分の 1 が、2035 年までに量子コンピュータが現在のブロックチェーン暗号を突破する確率を 50 % 以上と予測しています。連邦準備制度理事会(FRB)は、今日 記録されたビットコインのトランザクションが、将来の解読に対してすでに脆弱であると警告する論文を公開しました。また、Google は自社の認証インフラを耐量子アルゴリズムへ移行するための期限を 2029 年に設定しています。暗号解読が可能な量子コンピュータ(CRQC)が現行の公開鍵暗号を無効化する瞬間、いわゆる「Q-Day」へのカウントダウンは、もはや理論上の話ではありません。Web3 にとっての問いは、それが「いつ来るか」ではなく、「その時、どのチェーンが準備を整えているか」です。

収穫はすでに始まっている

量子リスクに関する議論の多くは、将来の劇的な出来事に焦点を当てています。つまり、Q-Day に量子コンピュータが ECDSA や EdDSA に対してショアのアルゴリズムを実行し、リアルタイムで秘密鍵を盗むというシナリオです。しかし、より巧妙な脅威はすでに活動を開始しています。

「Harvest now, decrypt later(今すぐ収集し、後で解読する:HNDL)」とは、敵対者(多くの場合、国家レベルの主体)が今日暗号化されたデータを収集して安価に保存しておき、量子ハードウェアが暗号を解読できるほど成熟するのを待つという戦略を指します。連邦準備制度理事会の 2025 年の調査論文では、ビットコインをケーススタディとして使用し、ブロックチェーンネットワークが耐量子暗号(PQC)の導入に成功したとしても、過去に記録されたトランザクションは HNDL 攻撃に対して永続的に脆弱なままであると結論付けています。

ブロックチェーン上で公開されているすべての公開鍵は、収穫を待つデータポイントです。ビットコインの UTXO モデルは、コインが使用されるときに公開鍵を露出させます。イーサリアムのアカウントモデルは、最初の送信トランザクションで公開鍵を露出させます。量子コンピュータが成熟すると、公開鍵が一度でもオンチェーンに現れたことのあるウォレットは、その後にプロトコルがアップグレードされたかどうかにかかわらず、すべて攻撃の標的となります。

この侵害はハッキングのようには見えません。今日は沈黙を守り、数年後に大規模な窃盗が発生するという形を取ります。

2026 年における量子ハードウェアの現状

今日の量子コンピュータと暗号解読が可能な量子コンピュータとの差は、多くのブロックチェーン開発者が想定しているよりも速いペースで縮まっています。

Google の Willow チップは、2024 年末に発表され、105 個の超伝導量子ビット(qubit)を搭載して量子ビット数が増えるにつれてエラーが指数関数的に減少することを実証しました。これは、初めて「閾値以下」という重要な壁を越えたことを意味します。このチップは、最速の古典的スーパーコンピュータで 10 兆の 1 兆倍(10 septillion)年かかるベンチマーク計算を 5 分足らずで完了しました。

IBM の量子ロードマップでは、2026 年までに 4,158 量子ビット(Kookaburra マルチチッププロセッサ)、2029 年までにフォールトトレラントな 200 論理量子ビットマシン(Starling)、そして 2033 年までに約 10 万個の物理量子ビットで 10 億ゲートのプログラムを実行する Blue Jay システムの構築を目指しています。

一方、2025 年の研究におけるブレイクスルーにより、RSA-2048 を解読するために必要な論理量子ビットの推定値が約 1,399 個へと大幅に削減され、専門家が予測するタイムラインが数年も前倒しされました。これを ECDSA(ビットコインの署名方式)に適用した場合、攻撃者にとっての条件はさらに有利になります。楕円曲線暗号は RSA よりも少ない量子ビットで解読可能だからです。

これらは理論的な予測ではありません。IBM はハードウェアを出荷しており、Google はベンチマークを公開しています。問いはもはや「構築できるか」ではなく、「エラー訂正がどれほど速く向上するか」に移っています。

NIST には答えがある。しかしブロックチェーンはそれを利用していない。

2024 年 8 月、NIST(米国立標準技術研究所)は最初の 3 つの耐量子暗号(PQC)標準を策定しました。

  • FIPS 203 (ML-KEM) — CRYSTALS-Kyber から派生したモジュール格子ベースの鍵カプセル化
  • FIPS 204 (ML-DSA) — CRYSTALS-Dilithium から派生したモジュール格子ベースのデジタル署名
  • FIPS 205 (SLH-DSA) — SPHINCS+ から派生したステートレス・ハッシュベースのデジタル署名

4 番目の標準である HQC(別の鍵カプセル化メカニズム)は 2025 年 3 月に選定され、2026 年にドラフトが公開される予定です。これらのアルゴリズムは、古典的攻撃と量子攻撃の両方に耐えられるよう設計されています。

それにもかかわらず、ブロックチェーン業界全体での採用は依然として極めて低いままです。暗号技術の採用追跡データによると、従来のアルゴリズムが 98.7 % の全採用事例を占めているのに対し、耐量子アルゴリズムはわずか 0.35 % にすぎません。標準は存在しますが、その実装は危険なほど遅れています。

チェーン別の耐量子準備状況評価

すべてのブロックチェーンが等しくリスクにさらされているわけではなく、準備状況も異なります。

イーサリアム:先見的なリーダー

イーサリアムは、主要なチェーンの中で最も積極的な姿勢をとっています。イーサリアム財団は 2026 年 3 月、ロードマップ、オープンソースリポジトリ、EIP、研究成果を集約する中心的なハブとして pq.ethereum.org を立ち上げました。主な要素は以下の通りです:

  • 200 万ドルの研究賞金を伴う専用の耐量子チーム
  • レイヤー 1 プロトコルのコアアップグレード完了に向けた 2029 年の目標
  • 実行層、コンセンサス層、データ層を網羅する多層的な移行戦略
  • ユーザーが破壊的な「フラッグデー」を伴わずに耐量子認証へ移行できるようにするアカウント抽象化(Account Abstraction)
  • ヴィタリック・ブテリン氏は、2030 年までに CRQC が出現する確率を 20 % と見積もっており、耐量子性を「譲れない条件」として挙げています。

イーサリアムの「テセウスの船」方式(複数のハードフォークを通じて暗号コンポーネントを段階的に置き換えていく手法)は、間違いなく業界で最も洗練された移行計画です。すでに毎週テストネットワークが稼働しています。

ビットコイン:ガバナンスの問題

ビットコインは、脅威の深刻さと移行準備の状況との間に最も大きな乖離を抱えています。その ECDSA 署名は、ショアのアルゴリズムに対して直接的な脆弱性を持っています。公開鍵が露出しているアドレスには、サトシ・ナカモトの初期のコインを含め、推定 400万 BTC 以上(現在の価格で 2,800億ドル以上)が眠っています。

課題は技術的な実現可能性ではありません。BTQ Technologies は、Bitcoin Quantum Core リリース 0.2 において、ECDSA を ML-DSA (CRYSTALS-Dilithium) に置き換えたビットコインの実装をすでに実証しています。真の課題はガバナンスです。

ビットコインには、調整された移行計画も、専用の資金調達構造も、合意されたタイムラインも存在しません。通貨政策の安定性には有利な、低速でコンセンサス重視のガバナンスモデルは、暗号学的なデッドラインに直面した際には負債となります。イーサリアムが 8 年間準備を進めてきた一方で、ビットコインの分散型開発文化は、それに見合う組織的な対応を生み出していません。

Google の 2026年 3月の勧告では、ビットコイン開発者に対し、耐量子移行を 2029年 までに行う必要があると明示的に警告しました。SegWit の合意に何年も費やしたコミュニティが、根本的な暗号の刷新を実行するのに残された時間は約 3 年です。

Algorand:先行者

Algorand は 2022年の時点で、ステートプルーフ(State Proofs)に格子ベースの FALCON 署名を統合しており、ネットワークレベルで耐量子暗号を導入した最初の主要チェーンの 1 つとなりました。パフォーマンスは 3.3 秒のファイナリティと 6,000 TPS で安定しています。

2026年のロードマップには、コンセンサスモジュールでのネイティブな FALCON 署名検証、大容量の耐量子鍵に対応した Ledger ハードウェアウォレットのファームウェア、そしてハードフォークなしで「量子安全アカウント」を有効にするためのオンチェーンガバナンス投票が含まれています。

Solana:システム全体ではなくオプションとして

Solana は、Winternitz 一時署名(Winternitz One-Time Signatures)に基づくオプションの耐量子機能である Winternitz Vault メカニズムを導入しました。しかし、コアネットワークはいまだに量子に対して脆弱な EdDSA と SHA-256 に依存しています。

2025年 12月、Solana 財団は Project Eleven と提携し、Ed25519 署名を CRYSTALS-Dilithium に置き換える公開テストネットを開設しました。これは心強い動きですが、依然としてテスト段階にあり、Solana はメインネットへの完全な移行に関するタイムラインを公開していません。

その他の動向

ほとんどのレイヤー 1 およびレイヤー 2 チェーンは、耐量子研究をほとんど、あるいは全く公開していません。大多数の DeFi プロトコル、ブリッジ、ロールアップは、ベースレイヤーが抱える量子脆弱性をそのまま引き継いでおり、さらにスマートコントラクトの暗号学的な前提条件を通じて独自の脆弱性を加えています。

誰も語らない移行の課題

たとえ計画があるチェーンであっても、耐量子移行には厳しいトレードオフが伴います。

鍵サイズの肥大化: ML-DSA 署名は約 4,600 バイトで、ECDSA の 64 バイトと比較して約 72 倍になります。すでにスループットの限界に挑んでいるブロックチェーンにとって、これはブロックサイズの増大、伝搬の遅延、そしてストレージコストの上昇を意味します。Algorand の事例は管理可能であることを示していますが、大規模な運用ではガス代やノードの要件に大きな影響を与えます。

後方互換性: 既存のすべてのウォレット、すべてのハードウェア署名デバイス、すべてのマルチシグコントラクト、そしてすべてのクロスチェーンブリッジは、現在の鍵形式を前提としています。移行は単なるソフトウェアのアップデートではありません。ハードウェアメーカー、ウォレット開発者、取引所、カストディプロバイダーを巻き込んだ、エコシステム全体の協調的な転換が必要となります。

「失われたコイン」のパラドックス: 耐量子移行は将来の取引を保護しますが、鍵を紛失した、亡くなった、あるいは単に活動を停止した所有者のウォレットにあるコインは移行できません。これらのコインは量子盗難に対して永続的に脆弱なままとなります。サトシの推定 110万 BTC は最も有名な例ですが、すべてのチェーンで数百万ものコインが同じ運命に直面しています。

コンセンスメカニズムへの影響: 署名集約(例えばイーサリアムのビーコンチェーンにおける BLS 署名)を使用するプルーフ・オブ・ステーク(PoS)チェーンは、さらなる複雑さに直面します。耐量子署名集約は、従来の方式に比べてはるかに効率が悪いためです。

開発者と投資家が今すべきこと

量子の脅威は 2035年の問題ではありません。HNDL(今収穫し、後で解読する)により、それは 2026年の問題となります。

開発者へ: 今すぐプロトコルの暗号学的な前提条件を評価してください。価値のある資産や機密データをオンチェーンで保存するものを構築している場合は、今すぐ NIST PQC 標準に照らしたテストを開始すべきです。イーサリアムの pq.ethereum.org はオープンソースのツールを提供しています。

投資家へ: 量子への備えは、実質的なリスク要因となりつつあります。移行計画が公開されていないチェーンは、ブロックが生成されるたびに暗号学的な負債を蓄積しています。Algorand とイーサリアムはリードしていますが、ビットコインのガバナンスの欠如は正当な懸念事項です。

ユーザーへ: 可能な限り公開鍵の露出を最小限に抑えてください。ビットコインでは、各アドレスを一度だけ使用するようにしてください。イーサリアムでは、アカウント抽象化(Account Abstraction)のアップグレードによって将来的に量子安全なオプションが提供されることを考慮してください。ただし、そのタイムラインが重要です。

機関投資家・企業へ: 連邦準備制度理事会(FRB)の研究は、単なる学術的な興味ではありません。コンプライアンス枠組みにおいてデータ漏洩リスクを考慮している場合、ブロックチェーン資産に対する HNDL も脅威モデルに含めるべきです。

時計の針は進んでいるのではない — すでに始まっている

Web3 の量子アポカリプスは、単一の劇的なイベントとして訪れるわけではありません。それは、スローモーションのような乖離として現れるでしょう。準備を進めたチェーンは稼働を続け、準備を怠ったチェーンは、長年にわたって公開鍵を収集し続けてきた攻撃者によって、最も古く価値のあるウォレットから資金が流出していくことになります。

イーサリアム(Ethereum)は 2029 年を期限に設定しました。ビットコイン(Bitcoin)はまだ何も設定していません。Algorand はすでにポスト量子プリミティブを導入しています。Solana はテスト中です。他のほとんどのチェーンはまだ着手すらしていません。

Web3 の暗号基盤は、量子以前の世界のために設計されました。世界はすでに先へ進んでいます。残された唯一の問いは、業界がそれとともに進むのか、それとも Q-Day が強制的に答えを出すのを待つのか、ということです。

量子耐性を持つブロックチェーン インフラストラクチャの構築は、信頼性の高いノード アクセスと API サービスから始まります。BlockEden.xyz は、Ethereum、Sui、Aptos、および 20 以上のネットワークに対してエンタープライズ グレードの RPC エンドポイントを提供しています。これは、業界が最も重要な暗号の転換期を乗り越えるために開発者が必要とする基盤です。API マーケットプレイスを探索 して、長期的な視点で設計されたインフラストラクチャ上で開発を始めましょう。

Share on Twitter