メインコンテンツまでスキップ

Google の Quantum AI ホワイトペーパー、1,000 億ドルの Ethereum を危険にさらす 5 つの攻撃パスを特定

· 約 19 分
Dora Noda
Dora Noda
Software Engineer

9 分ごとに 1 つの鍵が破られる。上位 1,000 の Ethereum ウォレットが 9 日足らずで空になる。 1,000 億ドル を超えるオンチェーン資産を保護する暗号技術を打破するために必要な量子ビット数が 20 分の 1 に激減する。これらは終末論的な Twitter スレッドの予測ではない。 2026 年 3 月 30 日に Google Quantum AI が、Ethereum Foundation の研究者 Justin Drake 氏およびスタンフォード大学の暗号学者 Dan Boneh 氏と共同で発表した 57 ページのホワイトペーパーに記載されている内容だ。

10 年間、「量子リスク」は小惑星の衝突と同じような領域の話として扱われてきた。現実的で壊滅的だが、誰も行動を起こさなくて済むほど遠い未来の話だ。しかし、Google の論文はこの脅威を身近なものへと引き寄せた。 Ethereum に対する 5 つの具体的な攻撃経路をマッピングし、対象となるウォレットやコントラクトを特定し、エンジニアに 500,000 個未満の物理量子ビットという具体的な数字を提示した。この数字は、 IBM 、 Google 、そして多額の資金提供を受けている半ダースものスタートアップが公開しているロードマップに直結している。言い換えれば、 Q-Day (量子コンピュータが既存の暗号を破る日)の予定が確定したということだ。

脅威モデルを一変させる 57 ページのホワイトペーパー

『量子脆弱性に対する楕円曲線暗号資産の保護(Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities)』と題されたこの論文は、主要な量子ハードウェア研究所が、 1994 年に理論化された攻撃手法であるショアのアルゴリズムを、 Bitcoin や Ethereum 、そして secp256k1 または secp256r1 でトランザクションに署名するほぼすべてのチェーンを保護している楕円曲線離散対数問題( ECDLP )に対する段階的な実行計画へと落とし込んだ、初の地道なエンジニアリングの成果である。

この論文がこれまでの予測よりもはるかに深刻に受け止められている理由は、主に 3 つある。

第一に、量子ビット数だ。以前の学術研究では、 256 ビット ECDLP を破るために必要なリソースは数百万の物理量子ビットと推定されていた。 Google の著者たちは、回路合成の改善、誤り訂正オーバーヘッドの最適化、マジックステート( Magic States )のタイトなルーティングにより、この数字を 500,000 個未満にまで引き下げた。これは 20 分の 1 への削減だ。 IBM は 2029 年までに 100,000 量子ビットのマシンを実現することを公約している。 Google は同等の目標値を公開していないが、社内ロードマップも同様の推移をたどっていると広く認識されている。 50 万量子ビットという数字は、もはや 2050 年代まで先延ばしにできるような数字ではない。

第二に、実行時間である。この論文の推定によれば、十分な性能のマシンが登場すれば、公開鍵から単一の秘密鍵を復元するのにかかる量子計算時間はわずか 9 分程度だ。数日でも数時間でもない。この数字は極めて重要である。なぜなら、攻撃の検知から対応までの限られた時間内に、どれだけの価値の高いターゲットを攻撃者が一掃できるかを決定づけるからだ。

第三に、これが Ethereum にとって最も重大な点だが、著者たちは単に「 ECDSA が破られる」と述べるにとどまっていない。彼らはプロトコルスタック全体を精査し、 5 つの明確な攻撃対象領域を特定し、それぞれの被害対象を具体的に挙げている。

Ethereum に対する 5 つの攻撃経路

この論文は、 Ethereum の量子リスクを 5 つのベクトルに整理しており、「ある日突然、すべての暗号技術が死滅する」といった安易な表現を注意深く避けている。

1. 外部所有アカウント( EOA )の侵害。 Ethereum アドレスがいったんトランザクションに署名すると、その公開鍵はオンチェーン上で永続的に公開される。量子攻撃者は約 9 分で秘密鍵を導き出し、ウォレットの中身を奪い去る。 Google の分析では、合計約 2,050 万 ETH を保有する ETH 残高上位 1,000 のウォレットが、最も経済合理性の高いターゲットとして特定されている。 1 つの鍵につき 9 分かかるとすると、攻撃者は 9 日足らずでリストの全ウォレットを空にできる。

2. 管理者権限を持つスマートコントラクトの乗っ取り。 Ethereum のステーブルコイン経済や主要な DeFi プロトコルの多くは、 EOA によって制御されるマルチシグ、アップグレードキー、ミンターロールに依存している。論文では、主要なステーブルコインのアップグレードキーやミンターキーを含む、 70 以上の管理者制御のコントラクトを列挙している。これらの鍵が侵害されると、単に残高を盗まれるだけでなく、攻撃者が通貨を発行・凍結したり、コントラクトのロジックを書き換えたりすることが可能になる。 Google は、約 2,000 億ドルのステーブルコインやトークン化された資産が、これらの脆弱な鍵の影響下にあると推定している。

3. プルーフ・オブ・ステーク( PoS )バリデータキーの侵害。 Ethereum のコンセンサスレイヤーは BLS 署名を使用しているが、これも楕円曲線暗号の前提に基づいており、ショアのアルゴリズムによって同様に破られる。十分な数のバリデータの秘密鍵を奪取した攻撃者は、原理的に「二重署名( equivocation )」を行ったり、競合するブロックをファイナライズさせたり、ファイナリティを停止させたりすることができる。ここでのリスクは ETH の盗難ではなく、チェーン自体の整合性だ。

4. レイヤー 2 決済の侵害。 論文は主要なロールアップにも分析を広げている。 Optimistic rollups は EOA で署名されたプロポーザーおよびチャレンジャーの鍵に依存しており、 ZK rollups はシーケンスとプルーフを行うオペレーターキーに依存している。これらの鍵が侵害されても、基礎となる妥当性証明が破られるわけではないが、攻撃者がシーケンサー手数料を盗んだり、出金を検閲したり、最悪の場合、 L2 の預金が保管されているブリッジをラグプルしたりすることが可能になる。

5. 過去のデータ可用性の永久的な偽造。 暗号学者が最も懸念しているのがこの経路だ。初期の Ethereum トラステッドセットアップ(および EIP-4844 の Blob を支える KZG セレモニー)は、ある前提に基づいているが、十分に強力な量子コンピュータは、公開されている証跡からセットアップの秘密を再構築することで、その前提を崩すことができる。その結果起こるのは盗難ではなく、永久に有効に見える過去の状態証明を偽造できる能力を手に入れることだ。すでに公開されたデータを修正できるローテーションは存在しない。

これら 5 つの経路を合わせると、 1,000 億ドル 以上の資産が即座にリスクにさらされることになり、チェーンの完全性に対する信頼が崩壊すれば、その桁を一つ上回る規模の構造的リスクが生じることになる。

Ethereum は Bitcoin よりも脆弱性にさらされている

この論文の微妙ながらも重要な結論は、Ethereum と Bitcoin の両方のチェーンが同じ secp256k1 曲線を使用しているにもかかわらず、Ethereum の量子的な脆弱性は Bitcoin よりも深刻であるということです。

その理由は、いわば「逆のアカウント抽象化」にあります。Bitcoin の UTXO モデル、特に Taproot 以降は、公開鍵のハッシュから派生したアドレスをサポートしています。つまり、公開鍵は送金時まで公開されません。アドレスを一度も再利用しないユーザーは、ブロードキャストから承認までの数秒間という、わずかな露出ウィンドウしか持ちません。未使用で手つかずのアドレスに保管されている資金は、その構造上、耐量子性(クォンタム・セーフ)が保たれています。

Ethereum にはこのような特性はありません。EOA が最初のトランザクションに署名した瞬間、その公開鍵はオンチェーンに永久に残ります。それを隠すための「新しいアドレス」パターンは存在しません。一度でも取引を行ったウォレットは、時間の経過とともに脆弱性が衰えることのない静的な標的となります。上位 1,000 個のウォレットにある 2,050 万 ETH は、単に理論的にさらされているだけでなく、十分に強力なマシンを待つ公開台帳上に永久に指紋が残されている状態なのです。

さらに悪いことに、Ethereum はアカウントを放棄せずに鍵をローテーションすることができません。新しいアドレスに資金を送ると、新しい公開鍵を持つ新しいアカウントが作成されますが、古いアドレスに関連付けられたもの(ENS 名、コントラクトの権限、ベスティング・ポジション、ガバナンスのアローリストなど)は資金とともに移動しません。移行コストは単にトークンを移動させるためのガス代だけではなく、古いアドレスが蓄積してきたあらゆる関係を解消するためのコストでもあります。

2029 年の期限と Ethereum のマルチフォーク・ロードマップ

Google の論文と並行して、Ethereum 財団は 2026 年 3 月に pq.ethereum.org を立ち上げました。これは、ポスト量子研究、ロードマップ、オープンソースのクライアント・レポジトリ、および毎週のデヴネットの結果をまとめる正規のハブです。現在、10 以上のクライアント・チームがポスト量子プリミティブに焦点を当てた相互運用デヴネットを運営しており、コミュニティは 2029 年までに L1 プロトコル層のアップグレードを完了させるという目標に収束しています。これは、Google が自社の認証サービスを ECDSA から移行するために設定した年と同じです。

ロードマップは、一度の巨大なフォークではなく、今後予定されている 4 つのハードフォークにわたって段階的に実施されます。概略は以下の通りです。

  • フォーク 1 — ポスト量子鍵レジストリ: アカウントが ECDSA 鍵と並行してポスト量子公開鍵を登録できるようにするネイティブ・レジストリ。既存のツールを壊すことなく、オプトイン方式の PQ 共同署名を可能にします。
  • フォーク 2 — アカウント抽象化フック: EIP-8141 の「フレーム・トランザクション」抽象化に基づき、アカウントが ECDSA を前提としない検証ロジックを指定できるようにします。これにより、ML-DSA(Dilithium)やハッシュベースの SLH-DSA(SPHINCS+)などの格子ベースのスキームへのネイティブな移行経路を提供します。
  • フォーク 3 — PQ コンセンサス: バリデータの BLS 署名をポスト量子集約スキームに置き換えます。これは、署名サイズがブロック伝搬に与える影響が大きいため、ロードマップ全体の中で最大のエンジニアリング負荷となります。
  • フォーク 4 — PQ データ可用性: ECC の仮定に依存しない、blob コミットメントのための新しい信頼されたセットアップ(trusted setup)または透過的なセットアップ。これにより、過去の偽造ベクトルを排除します。

ヴィタリック・ブテリン(Vitalik Buterin)氏は 2026 年 2 月下旬、「バリデータ署名、データストレージ、アカウント、および証明のすべてを更新する必要がある」と書き、緊急性を示唆しました。1 つの文で 4 つのフォークすべてに言及し、断片的なアップグレードでは不十分であることを暗に認めました。

課題は暗号技術そのものではありません。NIST はすでに ML-KEM、ML-DSA、および SLH-DSA を標準化しています。課題は、ECDSA の前提をハードコードしている何千もの DApp を壊すことなく、また所有者が移行しないまま放置されている数十億ドルの休眠 ETH を失わせることなく、3,000 億ドル以上のライブ・ネットワークにこれらのプリミティブを適用することにあります。

「凍結か盗難か」のジレンマ

Ethereum と Bitcoin の両方が、純粋に技術的なロードマップでは解決できないガバナンスの問題に直面しています。それは、所有者が移行しない脆弱なアドレスにあるコインをどう扱うかという問題です。

Ethereum 財団自身の FAQ は、この選択肢を平易な言葉で表現しています。「何もしないか、凍結するか」です。何もしないということは、Q-Day(量子の日)に、攻撃者が公開鍵が既知であるすべての休眠アドレス(ジェネシス時代の色、初期の ICO 購入者、秘密鍵を紛失した保有者、およびヴィタリック氏自身の公共財ファンディングへの歴史的貢献のかなりの部分を含む)から資金を流出させることを意味します。凍結するということは、期限までに移行しなかったアドレスからの出金を無効にするという、社会的合意に基づく行動を意味します。

Bitcoin の BIP 361「ポスト量子移行とレガシー署名のサンセット」も、3 段階のフレームワークで同じトリレンマを提示しています。共著者のイーサン・ハイルマン(Ethan Heilman)氏は、Bitcoin を量子耐性のある署名スキームへ完全に移行するには、大まかな合意形成がなされた日から 7 年かかると公に推計しています。つまり、2033 年の期限に間に合わせるには 2026 年に BIP 361 を実質的にマージする必要があり、2029 年に間に合わせるにはさらに早い対応が必要となります。

どちらのチェーンにも、コインを大量に無効化した前例はありません。Ethereum は 2016 年に DAO ハックのロールバックを行いましたが、それは単一のイベントの取り消しであり、暗号学的な姿勢に基づいて無関係な数百万のウォレットを意図的に凍結したわけではありません。この決定は、必然的に「不変性(immutability)」と「支払能力(solvency)」のどちらがチェーンのより深いコミットメントであるかを問う国民投票のようなものになるでしょう。

開発者が今すぐ取り組むべきこと

2029 年という期限は心地よいほど遠くに感じるかもしれませんが、プロジェクトが準備万端か、あるいは混乱に陥るかを左右する決定は 2026 年から 2027 年の間になされます。いくつかの実用的な影響がすぐに表面化します。

スマートコントラクトの設計者は、ECDSA への依存性を監査する必要があります。 ecrecover をハードコードしている、不変の署名者アドレスを埋め込んでいる、あるいは EOA 署名済みのプロポーザーキーに依存しているコントラクトは、アップグレードパスが必要です。今日、管理者キーなしでデプロイされたコントラクトは洗練されているように見えますが、ポスト量子の世界では、回復不能に見えるかもしれません。

カストディアンは、今すぐキーローテーションの習慣を開始する必要があります。 数十億ドルを管理するカストディプロバイダーは、Q-Day の週末だけで全ウォレットをローテーションさせることはできません。ローテーション、露出階層による分離、そして事前に準備された PQ 対応のコールドストレージは、2028 年ではなく 2026 年の課題です。

ブリッジオペレーターは、最も高い緊急性に直面しています。 ブリッジは、少数のマルチシグキーの背後に価値を集中させています。最初の経済的に合理的な量子攻撃は、ランダムに選ばれたウォレットを標的にするのではなく、エコシステム内で最も価値のある単一のキーを標的にするでしょう。ブリッジは、ハイブリッド PQ + ECDSA 署名を最初に実装すべきです。

アプリケーションチームは、4つのフォークによるロードマップを追跡すべきです。 ポスト量子(PQ)シーケンスにおける各 Ethereum ハードフォークでは、新しいトランザクションタイプと検証セマンティクスが導入されます。アップグレードの期間に遅れるウォレット、インデクサー、ブロックエクスプローラー、およびノードオペレーターは、計画を立てていれば段階的に機能制限(デグレード)されますが、計画がなければ壊滅的な障害を引き起こすでしょう。

BlockEden.xyz は、Ethereum、Sui、Aptos、およびその他多数のチェーンにわたって本番用 RPC およびインデックス作成インフラを運用しており、各ネットワークのポスト量子移行ロードマップを追跡しているため、アプリケーション開発者が自ら追跡する必要はありません。API マーケットプレイスを探索して、現在の暗号技術の移行期だけでなく、次の 10 年を生き抜くように設計されたインフラ上で構築を開始しましょう。

脅威モデリングにおける静かな革命

Google の論文による最大の貢献は、技術的なものというよりも社会学的なものかもしれません。10 年間、「量子耐性」という言葉は、ほとんど誰も使っていないプロジェクトに付随するマーケティング上の主張に過ぎませんでした。真剣なチェーンは、PQ 移行を次世代の研究者のための問題として扱ってきました。Google、Justin Drake、Dan Boneh による 57 ページにわたる論文は、その姿勢を一変させました。

3 か月の間に、量子暗号に関する 3 つの論文が発表されました。現在の量子ハードウェアと暗号解読に実用的なマシンの間のリソースギャップは、現在のチェーンプロトコルとポスト量子対応の間のギャップよりも速く縮まっているというコンセンサスが形成されています。これら 2 つの曲線の交差点(誰の予測が正しいかによりますが、2029 年から 2032 年の間)は、暗号インフラがこれまでに直面した中で最も重要な期限です。

2026 年を、曖昧な安心感を与えるための年ではなく、本格的なエンジニアリング作業の年として扱うチェーンは、その先も存続し続けるでしょう。Vitalik のウォレットが盗まれたという最初のヘッドラインを待っているようなチェーンには、対応する時間は残されていないはずです。

情報源

Share on Twitter