メインコンテンツまでスキップ

ビットコインの 1.3 兆ドルの量子時計:9 分間の ECDSA 突破と 690 万 BTC を救う BIP-360 の競争

· 約 18 分
Dora Noda
Dora Noda
Software Engineer

9 分間。それは、Google Quantum AI の 57 ページに及ぶ論文が、将来の量子コンピュータが公開された公開鍵から Bitcoin の秘密鍵をリバースエンジニアリングするために必要であると述べている時間です。これは、単一のブロック承認時間内に収まるほど短く、1.3 兆ドル 規模のネットワーク全体のリスクプロファイルを書き換えるほどに長い時間です。スタンフォード大学や Ethereum Foundation の研究者らと共同執筆され、2026 年 3 月 30 日に発表されたこの論文は、単に世界の終わりを予測する以上の巧妙な指摘を行いました。ECDSA を破るために必要なリソースの推定値を 20 分の 1 に引き下げたのです。Google は現在、2029 年までの耐量子移行(ポスト量子移行)を社内目標に掲げています。

Bitcoin にはそれほど長い猶予はありません。優雅な移行を望むのであればなおさらです。ネットワークの開発者たちはそれを熟知しています。だからこそ、2026 年 4 月は SegWit のアクティベーション以来、Bitcoin の暗号技術にとって最も重要な月となりました。BIP-360 はテストネットで稼働しており、レガシーアドレスを凍結するための追跡提案がドラフト形式で回覧されています。アダム・バック(Adam Back)、ジェームソン・ロップ(Jameson Lopp)、そして Bitcoin Core のメンテナーたちは、脅威が現実であるかどうかではなく、タイムリミットが来たときに誰がそのコストを支払うべきかについて意見を異にする陣営に分かれています。

露出マップ:690 万 BTC、供給量の 34%、そしてサトシのコイン

Google の論文で最も引用されている数字は「9 分」ですが、最も不安を掻き立てる数字は「690 万」です。これは、公開鍵がすでにオンチェーンで公開されている Bitcoin 供給量の上限です。つまり、量子攻撃者はメモリプールを介してトランザクションを競う必要がありません。彼らは余裕を持って秘密鍵を導出し、好きなときにコインを使うことができます。

この露出は、以下の階層に分けられます。

  • Pay-to-Public-Key (P2PK) アドレス: 約 170 万 BTC。これには、サトシ・ナカモト(Satoshi Nakamoto)が初期にマイニングしたコインベース報酬とされる 110 万 BTC 以上が含まれます。公開鍵は scriptPubKey に直接保存されており、隠すものは何もありません。
  • すべてのスクリプトタイプにおけるアドレスの再利用: P2PKH、P2WPKH、または Taproot アドレスが一度でも使用されると、その公開鍵は支出トランザクションの中で明らかになります。研究者の推定では、これにより脆弱な供給量は 600 万 BTC を大幅に超えます。
  • 休眠アドレス: 2026 年 3 月 1 日時点で、流通供給量の 34% 以上が、ある時点で公開鍵を露出させています。10 年間手付かずだったコインは、決して安全ではありません。鍵を明かさずに移動させることができないため、むしろより危険な状態にあります。

これは、「今収穫し、後で復号する(Harvest Now, Decrypt Later)」という問題の最も露骨な形です。過去 15 年間のすべてのアドレス再利用は、すでにブロックチェーンに記録されています。それを取り消すことはできません。唯一の防御策は移行です。つまり、十分に強力なマシンが登場する前に、耐量子アドレス形式にコインを移動させることです。

BIP-360:Pay-to-Merkle-Root と最初のテストネットブロック

イーサン・ハイルマン(Ethan Heilman)が共同執筆し、2026 年 2 月にリリースされた BIP-360 は、前方互換性のあるアドレス形式を提供する最初の具体的な Bitcoin 改善提案です。これは Pay-to-Merkle-Root (P2MR) を導入し、オンチェーンに単一の公開鍵を埋め込むのではなく、可能な署名スキームのマークルツリー(Merkle Tree)をコミットします。

P2MR の優雅な点は、今日特定の技術を選択することなく、ネットワークが耐量子署名を採用できることです。P2MR の出力は、支出時に SLH-DSA (SPHINCS+) 署名のパス、あるいは Falcon のパス、あるいは ECDSA と耐量子署名のハイブリッドパスを明らかにすることができます。公開鍵自体は UTXO に書き込まれず、コミットメントのみが書き込まれます。オブザーバーはコインが動くまで署名鍵について何も知ることはできず、動いた際にも使用された特定のパスのみが開示されます。

2026 年 3 月 20 日、BTQ Technologies は Bitcoin テストネット上で BIP-360 v0.3.0 の最初の本番運用を開始しました。50 以上のマイナーがこの実験に参加し、新しいルールの下で 10 万以上のブロックを生成しました。テストネットは Bitcoin メインネットではなく、アクティベーションへの道のりはまだ遠いです。しかし、これは長年批判者が投げかけてきた「P2MR は実際にスループットと署名サイズを処理できるのか?」という問いに答えを出しました。初期の結果は、コストはかかるものの「イエス」でした。

サイズの問題:64 バイト から 8 キロバイト へ

ここにはエンジニアリング上の「税金」が存在します。現在の ECDSA または Schnorr による Bitcoin 署名は 64 バイト です。NIST が標準化した耐量子の代替案である SLH-DSA(旧 SPHINCS+、2024 年 8 月に FIPS 205 として最終決定)は、1 つの署名につき約 8 キロバイト の重さがあります。これは 125 倍の増加です。

ブロック空間はゼロサムです。署名が大きくなったからといって、Bitcoin ブロックのウェイト制限(Weight Limit)が変わるわけではありません。もしすべての署名が一夜にして 8 KB になれば、実効的なトランザクションスループットは 2 桁以上崩壊し、手数料市場は最高額の送金以外を排除することになるでしょう。これは些細な UX の問題ではありません。Bitcoin がまだ移行していない理由そのものです。

この「税金」を解決するために、2 つの研究方向が模索されています。

  • SHRIMPS および SHRINCS: SPHINCS+ のセキュリティ保証を維持しつつ、署名サイズを 2 KB 前後に抑えることを目標としたステートレス・ハッシュベース・スキーム。
  • Falcon ファミリーの格子ベース署名: SPHINCS+ よりも小さく(約 700 バイト)、格子問題の困難性に関するより多くの仮定を伴います。純粋なハッシュベース・ファミリーとは異なるリスクプロファイルを持ちます。
  • 既存の Bitcoin Script を使用したコミット / リビール・スキーム: プロトコルのアップグレードなしに、1 トランザクションあたり約 200 ドルのコストで、今日の耐量子コミットメントを巧妙にエンコードします。高額ですが、高価値のコールドストレージ向けに現在利用可能です。

どの選択肢が明らかに正解であるかは分かっていません。BIP-360 のマークル・コミットメント・デザインは、選択を迫られる事態に対するヘッジ(回避策)なのです。

BIP-361:サトシのコインを凍結する提案

2026年 4月 14日、Jameson Lopp と 5名の共同研究者は、Bitcoin の BIP リポジトリに BIP-361 —「ポスト量子移行とレガシー署名の廃止(Post Quantum Migration and Legacy Signature Sunset)」— の草案を提出しました。これは 2017年のブロックサイズ戦争以来、最も政治的に激しい議論を呼ぶビットコインの提案であり、段階的に強化される 3つのフェーズで構成されています。

  • フェーズ A(アクティベーション + 約 3年):新規トランザクションは、量子の脅威に対して脆弱なレガシーアドレスタイプへ資金を送信できなくなります。脆弱なアドレスから資金を出すことは依然として可能ですが、ウォレットやサービスはデフォルトで P2MR を使用するように促されます。
  • フェーズ B(アクティベーション + 約 5年):コンセンサスレイヤーがすべてのレガシー署名を無効化します。このブロック高までに移行されなかったコインは使用不能(凍結)となります。
  • フェーズ C(研究中):BIP-39 シードフレーズに紐付けられたゼロ知識証明(ZKP)を用いた限定的な回復メカニズム。ユーザーは秘密鍵を明かすことなく凍結された UTXO の所有権を証明できますが、元のシードを依然として管理している場合に限られます。シードを紛失したコインは紛失したままとなります。

計算は冷酷です。フェーズ B では、P2PK スクリプトにロックされた 170,000 BTC と、サトシのものとされる約 110万 BTC が凍結されることになります。1 BTC あたり 95,000ドルの場合、コンセンサスによって 1,200億ドル以上のコインが廃止されることになります。これは、いかなるデジタルネットワークの歴史においても、私有財産の強制収用として最大規模のものです。

分断:Adam Back vs. Lopp、イデオロギーの純粋性 vs. 敵対的思考

コミュニティの反応は数時間以内に届き、予想通りの対立軸で分かれました。

凍結反対派:

  • Adam Back は、強制的な廃止を伴わないオプションのポスト量子アップグレードを公に提唱し、コインの凍結はビットコインの核心である「許可不要の所有(permissionless possession)」という約束に違反すると主張しました。
  • Marty Bent(TFTC)はこの提案を「馬鹿げている」と呼びました。
  • Bitcoin Magazine の Brian Trollz は、この提案を即座に拒絶しました。
  • Phil Geiger(Metaplanet)は反対意見を次のようにまとめました。「自分のお金を盗まれるのを防ぐために、人のお金を盗まなければならないというのか。」

凍結賛成派:

  • Lopp は、この草案を「将来の潜在的な脅威に対する敵対的思考」と位置づけ、現時点で即時の有効化が必要だとは考えていないと述べています。
  • 機関投資家のカストディアン は、この廃止を静かに支持しています。なぜなら、量子以前のコインプールが残ることは、量子攻撃者が時間の制約なく狙える巨大なハニーポット(標的)となり、永続的なシステムリスクになるからです。

哲学的な相違は深刻です。ビットコインの約束は、コインが命令(fiat)によって没収されないことでした。BIP-361 はそれを反転させます。つまり、コインが「不作為」によって没収される可能性があるのです。反対派は、休眠中のコインが将来の量子攻撃者に盗まれるのを許容することは、元の約束を守るための代償に過ぎないと主張します。賛成派は、盗難を待つことはビットコインが生き残れないような前例を正当化することになると主張します。

7年の滑走路と、移行が停滞した場合の末路

BIP-360 の共同著者である Ethan Heilman は、即座に開始したとしても完全な移行には少なくとも 7年かかると見積もっています。タイムラインの内訳はおおよそ以下の通りです。

  • 1年目:BIP-360 メインネットのアクティベーションとウォレットサポートの展開。
  • 2〜3年目:取引所、カストディアン、マーチャントの統合。ポスト量子署名パスを備えたハードウェアウォレットのファームウェアアップデート。
  • 4〜5年目:BIP-361 またはその後継案が採用された場合、コンセンサスレベルでのフェーズ A 制限の施行。
  • 6〜7年目:レガシー署名の廃止、凍結アドレスの解決、回復メカニズムの展開。

Google が社内で設定している 2029年という期限はこの期間内に収まっています。Bernstein のアナリストは、量子が実用的な脅威になるまでに 3〜5年の移行期間を予想しています。Ark Invest は、脅威は長期的であり差し迫ったものではないと主張します。「差し迫っていない」ことと「7年の移行期間」のギャップこそが、ビットコインのガバナンスが今後 10年間の残りの期間を費やす場所となるでしょう。

クロスチェーン比較:Ethereum、Solana、そして量子ネイティブの新興勢力

ビットコインだけが同じ時計と戦っているわけではありませんが、最も制約のあるガバナンスを持つのはビットコインです。

  • Ethereum:Vitalik Buterin は 2026年 2月にポスト量子ロードマップを公開しました。EIP-8141 は、ECDSA とポスト量子署名の両方を同時に運ぶ「フレームトランザクション(frame transaction)」エンベロープを導入し、アカウントがアドレスを変更せずに署名タイプを移行できるようにします。耐量子署名はガス代が最大 66倍かかりますが、経済的な実行可能性を維持するためにバッチ処理ソリューションが必要です。Ethereum 財団は 2030年までの完全な耐量子化を目指しています。
  • Solana:2025年 12月、Solana Foundation は Project Eleven と提携し、すべての Ed25519 署名を CRYSTALS-Dilithium に置き換えるテストネットを立ち上げました。初期の測定では約 3,000 TPS を維持しましたが、以前の独立したテストでは、署名が 40倍大きくなることでスループットが最大 90% 低下すると報告されていました。Jump Crypto の代替バリデータクライアントである Firedancer は、複数の署名バックエンドをサポートしており、Ethereum が EIP-8141 を最終決定する前に Solana をポスト量子移行可能にします。
  • 量子ネイティブ L1:Circle Arc、Algorand、およびいくつかの新しいチェーンは、ジェネシス(創設時)から耐量子プリミティブを採用して立ち上げられており、移行の問題を完全に回避しています。2027年における彼らのマーケティングの売り文句は、自ずと決まってくるでしょう。

ビットコインの不利な点は技術的なものではなく、政治的なものです。Ethereum には財団があり、Solana には Anza と Firedancer チームがあります。ビットコインには Core メンテナーと、はるかに論争の少なかった Taproot のアップグレードを届けるのに 4年近くかかったラフコンセンサスモデルがあるのです。

開発者およびホルダーへの実務的な影響

現在 Bitcoin 上で開発を行っている、あるいは Bitcoin を保有しているすべての人にとって、注目すべき 3 つの実務的な影響があります。

  1. コールドストレージの運用がかつてないほど重要になる。アドレスの再利用は、これまで常にプライバシー保護におけるアンチパターンとされてきましたが、今や暗号学的なリスクとなりました。BIP-360 が有効化される前であっても、取引ごとに新しいアドレスを使用することで時間を稼ぐことができます。なぜなら、公開鍵が一度も公開されていない未使用の P2WPKH および Taproot の出力は、それらが使用されるまで「今収穫して、後で解読する(harvest now, decrypt later)」モデルに対しても安全なままだからです。
  2. マルチシグおよび Taproot のスクリプトパスにも移行計画が必要になる。使用パスが公開されている複雑なスクリプトは、単一鍵のアドレスと同様の露出問題を抱えています。カストディサービスは、自社のコールドストレージ構成のうち、どれがポスト量子(耐量子)の世界で存続可能か、そしてどれが「フェーズ A」の期限までに強制移行を必要とするかを監査し始めるべきです。
  3. インフラプロバイダーが運用の重責を担うことになる。BIP-360 が有効化されると、ウォレット、取引所、RPC プロバイダーは、新しいアドレス形式のサポート、ハイブリッド署名検証の処理、手数料の高騰やバグによって資金を失うことなくユーザーが UTXO を移行できるよう支援するなど、2 年間にわたり地味ながら不可欠な「配管作業」に従事することになります。そのインフラの品質こそが、移行がスムーズに進むか、あるいは混乱を招くかを左右します。

量子耐性へのカウントダウンは、ニュースの見出しのような速さで進んでいるわけではありません。それは標準化委員会、テストネットのロールアウト、そして BIP の有効化というペースで進んでいます。これこそが、2026 年 4 月が重要である理由です。最初の BIP はテストネットで稼働しており、2 つ目はドラフト段階にあります。コミュニティ内での議論も活発です。これこそが、まさに「1 年目(Year Zero)」における機能的な移行プロセスのあるべき姿です。

もう一つの選択肢、すなわち 500,000 量子ビットのコンピュータが実際に登場するまで待つという道は、決して機能しない選択肢なのです。

BlockEden.xyz は、Bitcoin、Ethereum、Solana、およびポスト量子移行の課題に直面している 20 以上のチェーンに対し、エンタープライズグレードのノードおよび API インフラを提供しています。暗号技術の進化に対応するよう設計されたインフラを活用して開発を行うには、当社の API マーケットプレイス をご覧ください。

ソース

Share on Twitter