暗号プロトコルと技術
すべてのタグを見る
Google は 2029 年、Ethereum も 2029 年と言っています。世界最大のスマートコントラクトプラットフォームにおけるすべての暗号化の基盤を、マシンを止めることなく置き換えるという競争が、今、正式に始まりました。
2026 年 3 月 25 日、Ethereum Foundation は pq.ethereum.org を開設しました。これは、8 年間に及ぶ耐量子研究を 1 つの実行可能なロードマップに統合した専用のセキュリティハブです。すでに 10 以上のクライアントチームが毎週の相互運用性デブネット(devnets)を実行しており、ライブテストネットワークで耐量子署名のテストを行っています。そのメッセージは明白です。量子コンピューティングを遠い未来の仮説として扱う時代は終わりました。
すべてのイーサリアムウォレット、バリデーターの署名、そしてゼロ知識証明は、同じ数学的仮定に基づいています。それは、巨大な数の素因数分解や離散対数問題の解決は、いかなるコンピュータにとっても実質的に不可能であるという仮定です。量子マシンは、最終的にこの仮定を打ち砕くでしょう。その時、資産価値ベースで全ビットコインの約 25 % — そして同程度のイーサリアム — が、わずか一午後のうちに危険にさらされる可能性があります。
イーサリアム財団はその時が来るのをただ待っているわけではありません。2026 年 3 月 25 日、財団は pq.ethereum.org を立ち上げました。これは、長年の研究を一つの実行可能なロードマップに統合した、ポスト量子セキュリティ専用のハブです。すでに 10 以上のクライアントチームが毎週、相互運用性デブネット(devnet)を稼働させており、コアとなるレイヤー 1 アップグレードの目標時期は 2029 年に設定されています。
これは、分散型ネットワークがこれまでに試みた中で最も野心的な暗号技術の移行であり、すでに進行しています。
書類を一切提示せずに、年収が 100,000 ドル以上であること、有効なパスポートを所持していること、または FICO 信用スコアが 800 点であることを証明できたらどうでしょうか?それが zkTLS の約束であり、2026 年、それは暗号理論からプロダクション・インフラへと急速に移行しています。
ゼロ知識トランスポート層セキュリティ (zkTLS) は、現在アクセスするほぼすべてのウェブサイトを保護している暗号化プロトコルを拡張したものです。zkTLS は、単に通信中のデータを保護するだけでなく、基礎となる情報を一切公開することなく、特定のデータが検証済みのソースから取得されたものであるという数学的証明を生成します。その結果、Web2 データのロックされた保管庫と、Web3 のコンポーザブルでパーミッションレスな世界の間の架け橋となります。
あらゆるブロックチェーン上のすべての秘密鍵は、刻一刻と迫る時限爆弾です。早ければ 2028 年にも登場する可能性がある耐故障性量子コンピュータが実現すれば、ショアのアルゴリズム(Shor's algorithm)によって、3 兆ドル相当のデジタル資産を保護している楕円曲線暗号がわずか数分で解読されることになります。その爆弾を解除するための競争は、もはや理論上の話ではありません。NIST(米国国立標準技術研究所)は 2024 年 8 月に初の耐量子計算機暗号(PQC)標準を最終決定しました。そして 2026 年、ブロックチェーン業界はついにそれらの標準を学術論文から本番環境のコードへと移行させようとしています。
Ethereum は、刻一刻と迫る脅威に直面しています。現代の暗号化技術を打破できる量子コンピュータはまだ存在していませんが、ヴィタリック・ブテリン(Vitalik Buterin)は、2030 年までにそれが実現する可能性が 20% あると見積もっています。そして、もし実現すれば、数千億ドル規模の資産が危険にさらされる可能性があります。2026 年 2 月、彼は Ethereum にとってこれまでで最も包括的な量子防御ロードマップを発表しました。これは EIP-8141 と、「Q-Day」が到来する前にすべての脆弱な暗号コンポーネントを置き換えるための複数年にわたる移行戦略を中心としたものです。
リスクはかつてないほど高まっています。Ethereum のプルーフ・オブ・ステーク(PoS)コンセンサス、外部所有アカウント(EOA)、およびゼロ知識証明システムはすべて、量子コンピュータが数時間で解読できる可能性のある暗号アルゴリズムに依存しています。アドレスを再利用しないことで資金を保護できる Bitcoin とは異なり、Ethereum のバリデータシステムとスマートコントラクトアーキテクチャは、永続的な露出ポイントを生み出します。ネットワークは今すぐ行動しなければなりません。さもなければ、量子コンピューティングが成熟したときに時代遅れになるリスクがあります。
「Q-Day」――量子コンピュータが今日の暗号を破ることができるようになる瞬間――という概念は、理論的な懸念から戦略的な計画の優先事項へと移行しました。ほとんどの専門家は Q-Day が 2030 年代に到来すると予測していますが、ヴィタリック・ブテリンは 2030 年以前にブレイクスルーが起こる確率を約 20% と割り当てています。これは遠い未来のように思えるかもしれませんが、ブロックチェーン規模で暗号化の移行を安全に実行するには、何年もかかります。
量子コンピュータは、RSA や楕円曲線暗号(ECC)の根底にある数学的問題を効率的に解決できるショア(Shor)のアルゴリズムを通じて Ethereum を脅かします。現在、Ethereum は以下に依存しています:
これらの暗号プリミティブは、十分に強力な量��子コンピュータが登場すると脆弱になります。たった一度の量子のブレイクスルーによって、攻撃者が署名を偽造し、バリデータになりすまし、ユーザーアカウントから資金を流出させることが可能になり、ネットワーク全体のセキュリティモデルが損なわれる可能性があります。
この脅威は、Bitcoin と比較して Ethereum にとって特に深刻です。アドレスを一度も再利用しない Bitcoin ユーザーは、送金時まで公開鍵を隠しておくことができ、量子攻撃の窓口を制限できます。しかし、Ethereum の PoS バリデータは、コンセンサスに参加するために BLS 公開鍵を公開しなければなりません。スマートコントラクトのやり取りでも、日常的に公開鍵が露出します。このアーキテクチャ上の違いは、Ethereum が反応的な行動変化ではなく、積極的な防御を必要とする、より持続的な攻撃対象領域を持っていることを意味します。
Ethereum の量子ロードマップの中核にあるのは EIP-8141 です。これは、アカウントがトランザクションを認証する方法を根本的に再考する提案です。署名スキームをプロトコルにハードコードするのではなく、EIP-8141 は「アカウント抽象化(Account Abstraction)」を可能にし、認証ロジックをプロトコルルールからスマートコントラクトコードへと移行させます。
このアーキテクチャの転換により、Ethereum アカウントは、厳格な ECDSA 専用のエンティティから、量子耐性のある代替案を含むあらゆる署名アルゴリズムをサポートできる柔軟なコンテナへと変貌します。EIP-8141 の下では、ユーザーはハッシュベースの署名(SPHINCS+ など)、格子ベースのスキーム(CRYSTALS-Dilithium)、または複数の暗号プリミティブを組み合わせたハイブリッドアプローチに移行できるようになります。
技術的な実装は、アカウントがカスタムの検証ロジックを指定できるようにするメカニズムである「フレームトランザクション(frame transactions)」に依存しています。EVM がプロトコルレベルで ECDSA 署名をチェックする代わりに、フレームトランザクションはこの責任をスマートコントラクトに委任します。これは以下のことを意味します:
Ethereum Foundation の開発者であるフェリックス・ランゲ(Felix Lange)は、EIP-8141 が「ECDSA からの重要なオフランプ(出口)」を作り出し、量子コンピュータが成熟する前にネットワークが脆弱な暗号を放棄できるようにすると強調しました。ヴィタリックは、2026 年後半に予定されている Hegota アップグレードにフレームトランザクションを含める��ことを提唱しており、これを遠い研究プロジェクトではなく短期的な優先事項としています。
ヴィタリックのロードマップは、量子耐性のある代替手段への置き換えを必要とする 4 つの脆弱なコンポーネントをターゲットにしています:
Ethereum の PoS コンセンサスは BLS 署名に依存しており、数千のバリデータ署名をコンパクトな証明に集約します。BLS 署名は効率的ですが、量子に対して脆弱です。ロードマップでは、BLS をハッシュベースの代替案に置き換えることを提案しています。これは、量子コンピュータが解決できる困難な数学的問題ではなく、衝突耐性のあるハッシュ関数のみにセキュリティが依存する暗号スキームです。
XMSS(Extended Merkle Signature Scheme)のようなハッシュベースの署名は、数十年にわたる暗号研究に裏打ちされた実証済みの量子耐性を提供します。課題はその�効率性にあります。BLS 署名は Ethereum が 90 万人以上のバリデータを経済的に処理することを可能にしますが、ハッシュベースのスキームは大幅に多くのデータと計算を必要とします。
Dencun アップグレード以降、イーサリアムは「blob」データ可用性のために KZG 多項式コミットメントを使用しています。これは、ロールアップがデータを安価に投稿し、バリデーターがそれを効率的に検証できるようにするシステムです。しかし、KZG コミットメントは量子攻撃に対して脆弱な楕円曲線ペアリングに依存しています。
解決策は、楕円曲線ではなくハッシュ関数からセキュリティを得る STARK( Scalable Transparent Argument of Knowledge )証明への移行です。STARK は設計上、量子耐性があり、すでに StarkWare のような zkEVM ロールアップを支えています。この移行により、量子への曝露を排除しながら、イーサリアムのデータ可用性機能を維持することができます。
ユーザーにとって最も目に見える変化は、2 億以上のイーサリアムアドレスを ECDSA から量子安全な代替手段に移行することです。EIP-8141 は、アカウント抽象化( Account Abstraction )を通じてこの移行を可能にし、各ユーザーが好みの量子耐性スキームを選択できるようにします。
最大の制約はガス代( ガス代 )です。従来の ECDSA 検証コストは約 3,000 ガスですが、SPHINCS+ の検証には約 200,000 ガスが必要となり、約 66 倍に増加します。この経済的負担により、EVM の最適化や、ポスト量子署名検証のために特別に設計された新しいプリコンパイル( Precompiles )がなければ、量子耐性トランザクションのコストが非常に高額になる可能性があります。
多くのレイヤー 2 スケーリングソリューションやプライバシープロトコルは、zk-SNARKs( Zero-Knowledge Succinct Non-Interactive Arguments of Knowledge )に依存しており、通常、証明の生成と検証に楕円曲線暗号を使用しています。これらのシステムは、STARKs や格子ベースの ZK 証明のような量子耐性のある代替手段に移行する必要があります。
StarkWare、Polygon、zkSync はすでに STARK ベースの証明システムに多額の投資を行っており、イーサリアムの量子移行のための基盤を提供しています。課題は、イーサリアムのベースレイヤーとの互換性を維持しながら、数十の独立したレイヤー 2 ネットワークにわたるアップグレードを調整することにあります。
イーサリアムの量子ロードマップは、2024 年から 2025 年にかけて米国国立標準技術研究所( NIST )によって標準化された暗号アルゴリズムに基づいています。
これらの NIST 承認済みアルゴリズムは、正式なセキュリテ��ィ証明と広範なピアレビューを経て、ECDSA や BLS に代わる実戦演練済みの代替手段を提供します。イーサリアムの開発者は、これらの暗号基盤を信頼して実装することができます。
実装のタイムラインは、エンジニアリングの現実を踏まえつつも、緊急性を反映しています。
2026 年 1 月: イーサリアム財団が、リサーチャーの Thomas Coratger 氏率いる 200 万ドルの資金を投じた専任のポスト量子セキュリティチームを設立。これにより、量子耐性は研究テーマから戦略的優先事項へと正式に格上げされました。
2026 年 2 月: Vitalik 氏が、EIP-8141 と「Strawmap」( 2029 年まで量子耐性暗号を統合する 7 段階のフォークアップグレード計画 )を含む、包括的な量子防御ロードマップを公開。
2026 年下半期: Hegota アップグレードにおいて、量子安全なアカウント抽象化の技術的基盤となるフレームトランザクション( EIP-8141 を有効化 )の導入を目指す。
2027 年 ~ 2029 年: ベースレイヤーおよびレイヤー 2 ネットワーク全体で、量子耐性のあるコンセンサス署名、データ可用性コミットメント、および ZK 証明システムを段階的に展開。
2030 年以前: 重要なインフラストラクチャを量子耐性暗号へ完全に移行。これにより、予測される最も早い Q-Day( 量子計算機が現代の暗号を破る日 )のシナリオに対して安全マージンを確保。
このタイムラインは、コンピューティング史上最も野心的な暗号移行の 1 つであり、財団チーム、クライアント開発者、レイヤー 2 プロトコル、ウォレットプロバイダー、そして数百万のユーザーにわたる調整が必要となります。これらすべてを、イーサリアムの運用安定性とセキュリティを維持しながら進めなければなりません。
量子耐性は無料では手に入りません。最大の技術的障害は、イーサリアム仮想マシン( EVM )上でポスト量子署名を検証するための計算コストです。
現在の ECDSA 署名検証コストは約 3,000 ガスで、一般的なガス価格では約 0.10 ドルです。最も保守的な量子耐性代替案の 1 つである SPHINCS+ は、検証に約 200,000 ガス、つまりトランザクションあたり約 6.50 ドルかかります。頻繁に取引を行うユーザーや複雑な DeFi プロトコルを利用するユーザーにとって、この 66 倍のコスト増は、利用を躊躇させる要因になり得ます。
これらの経済的課題を緩和するために、いくつかの手法が検討されています。
EVM プリコンパイル: CRYSTALS-Dilithium や SPHINCS+ 検証のためのネイティブ EVM サポートを追加することで、既存のプリコンパイルが ECDSA 検証を安価にしているのと同様に、ガス代を劇的に削減できます。ロードマップには、13 の新しい量子耐性プリコンパイルの計画が含まれています。
ハイブリッドスキーム: ユーザーは「従来型 + 量子型」の署名組み合わせを採用できます。ここでは ECDSA と SPHINCS+ の両方の署名が有効である必要があります。これにより、Q-Day が到来するまで効�率を維持しながら量子耐性を確保し、必要になった時点で ECDSA コンポーネントを廃止することができます。
楽観的検証( Optimistic Verification ): 「Naysayer 証明」の研究では、署名が異議を唱えられない限り有効であると見なす楽観的モデルが模索されています。これにより、追加の信頼前提と引き換えに、オンチェーンでの検証コストを劇的に削減できます。
レイヤー 2 への移行: 量子耐性トランザクションは主にポスト量子暗号に最適化されたロールアップで行われ、イーサリアムのベースレイヤーは最終的な決済のみを処理するようにします。このアーキテクチャ上のシフトにより、コスト増加を特定のユースケースに限定できます。
イーサリアムの研究コミュニティはこれらすべての道を積極的に模索しており、ユースケースごとに異なる解決策が登場する可能性が高いです。高額な機関投資家の送金には SPHINCS+ のセキュリティのための 200,000 ガスが正当化されるかもしれませんが、日常的な DeFi トランザクションは、より効率的な格子ベースのスキームやハイブリッドアプローチに依存することになるでしょう。
ビットコイン (Bitcoin) とイーサリアム (Ethereum) は量子脅威への直面スタイルが異なり、それがそれぞれの防御��戦略に影響を与えています。
ビットコインの UTXO モデルとアドレス再利用のパターンは、比較的単純な脅威状況を作り出しています。アドレスを再利用しないユーザーは、送金時まで公開鍵を隠し続けることができ、量子攻撃の窓口はトランザクションのブロードキャストからブロックの承認までの短い期間に限定されます。この「アドレスを再利用しない」という指針は、プロトコルレベルの変更がなくとも実質的な保護を提供します。
イーサリアムのアカウント・モデルとスマート・コントラクトのアーキテクチャは、永続的な露出ポイントを生み出します。すべてのバリデーターは、常に一定の BLS 公開鍵を公開しています。スマート・コントラクトとのやり取りでは、日常的にユーザーの公開鍵が露出します。コンセンサス・メカニズム自体も、12 秒ごとに数千の公開署名をアグリゲート(集計)することに依存しています。
このアーキテクチャの違いにより、イーサリアムは能動的な暗号資産の移行が必要となる一方で、ビットコインはより反応的な(事後対応的な)姿勢をとることが可能になります。イーサリアムの量子ロードマップはこの現実を反映しており、ユーザーの行動変容に頼るのではなく、すべてのユーザーを保護するプロトコルレベルの変更を優先しています。
しかし、両方のネットワークともに同様の長期的課題に直面しています。ビットコインにおいても量子耐性のあるアドレス形式や署名スキームの提案がなされており、Quantum Resistant Ledger (QRL) のようなプロジェクトはハッシュ・ベースの代替案を実証しています。広範な暗号資産エコシステム全体が、量子コンピューティングを協調的な対応が必要な存亡の危機であると認識しています。
2 億人を超えるイーサリアムのアドレス保持者にとって、量子耐性は劇的なプロトコルの変更ではなく、段階的なウォレットのアップグレードを通じて実現されます。
ウォレット・プロバイダーは、EIP-8141 がアカウント抽象化を可能にすることで、量子耐性のある署名スキームを統合します。ユーザーは MetaMask やハードウェア・ウォレットで「量子セーフ・モード」を選択し、アカウントを SPHINCS+ や Dilithium 署名に自動的にアップグレードできるようになるでしょう。ほとんどのユーザーにとって、この移行は日常的なセキュリティ・アップデートのように感じられるはずです。
DeFi プロトコルと DApps は、量子耐性署名によるガス代への影響に備える必要があります。スマート・コントラクトは、署名検証の呼び出しを最小限に抑えたり、バッチ操作をより効率化したりするために、再設計が必要になるかもしれません。プロトコルは、取引コストは高くなるものの、より強力なセキュリティ保証を提供する「量子セーフ」バージョンを提供する可能性があります。
レイヤー 2 開発者は、最も複雑な移行に直面します。ロールアップの証明システム、データ可用性(Data Availability)メカニズム、クロスチェーン・ブリッジのすべてに量子耐性暗号が必要だからです。Optimism などのネットワークは、このエンジニアリングの課題の大きさを認識し、すでに 10 年間のポスト量子移行計画を発表しています。
バリデーターとステーキング・サービスは、最終的に BLS からハッシュ・ベースのコンセンサス署名へと移行することになります。これにはクライアント・ソフトウェアのアップグレードやステーキング・インフラの変更が必要になる可能性があります。イーサリアム財団の段階的なアプローチは混乱を最小限に抑えることを目的としていますが、バリデーターはこの不可避な移行に備えるべきです。
広範なエコシステムにとって、量子耐性は挑戦であると同時にチャンスでもあります。ウォレット、プロトコル、開発ツールなど、今日から量子セーフなインフラを構築しているプロジェクトは、イーサリアムの長期的なセキュリティ・アーキテクチャにおける不可欠な構成要素としての地位を確立することになるでしょう。
イーサリアムの量子防御ロードマップは、ポスト量子暗号の課題に対するブロックチェーン業界で最も包括的な対応策です。コンセンサス署名、データ可用性、ユーザー・アカウント、そしてゼロ知識証明を同�時にターゲットにすることで、ネットワークは量子コンピュータが成熟する前に、完全な暗号技術の刷新を設計しています。
タイムラインは野心的ですが、達成不可能なものではありません。200 万ドルの予算を持つ専任のポスト量子セキュリティ・チーム、NIST 標準アルゴリズムの実装準備、そして EIP-8141 の重要性に関するコミュニティの合意により、イーサリアムはこの移行を実行するための技術的基盤と組織的な意思を備えています。
ハッシュ・ベースの署名によるガス代の 66 倍の増加といった経済的な課題は、まだ解決されていません。しかし、EVM の最適化、プリコンパイルの開発、ハイブリッド署名スキームなどにより、解決策は見え始めています。問題はイーサリアムが量子耐性を持てるかどうかではなく、いかに迅速にこれらの防御策を大規模に展開できるかです。
ユーザーと開発者へのメッセージは明確です。量子コンピューティングはもはや遠い理論上の懸念ではなく、短期的な戦略的優先事項です。2026 年から 2030 年の期間は、イーサリアムが「Q-Day」の到来前に、その暗号学的基盤の将来を確実なものにするための極めて重要な機会となります。
オンチェーン上の数千億ドルの価値を守れるかどうかは、この取り組みの成否にかかっています。ヴィタリックのロードマップが公開され、実装が進む中、イーサリアムは量子コンピューティングとの競争に勝ち、ポスト量子時代におけるブロックチェーン・セキュリティを再定義することに賭けています。
出典:
イーサリアムの 5,000 億ドル規模のネットワークを保護しているすべての要素が、わずか数分で解読される可能性があるとしたらどうでしょうか? それはもはや SF ではありません。イーサリアム財団(Ethereum Foundation)は、耐量子セキュリティを「最優先の戦略的課題」と宣言し、専用チームを立ち上げ、200 万ドルの研究助成金を投じることを決定しました。メッセージは明確です。量子的な脅威はもはや理論上の話ではなく、カウントダウンはすでに始まっています。
今日のすべてのブロックチェーンは、量子コンピュータによって打ち砕かれる暗号学的仮定に依存しています。イーサリアム、ビットコイン、ソラナ、そして事実上すべての主要なネットワークは、署名に楕円曲線暗号(ECC)を使用しています。これは、十分な数の量子ビット(qubits)があれば、ショアのアルゴリズム(Shor's algorithm)で解読可能な数学的仕組みです。
脅威モデルは極めて深刻です。現在の量子コンピュータは、��現実世界の鍵に対してショアのアルゴリズムを実行できるレベルには程遠い状態です。secp256k1(ビットコインやイーサリアムが使用している楕円曲線)や RSA-2048 を破るには、数十万から数百万の物理量子ビットが必要ですが、現在のマシンは 1,000 量子ビット強にとどまっています。Google や IBM は 2030 年代初頭までに 100 万物理量子ビットを目指す公開ロードマップを掲げていますが、エンジニアリング上の遅延を考慮すると、2035 年頃になる可能性が高いでしょう。
しかし、ここからが重要です。「Q-Day」(量子コンピュータが現在の暗号を破ることができる瞬間)の予測時期は、積極的な予測で 5 〜 10 年、保守的な予測で 20 〜 40 年と幅があります。いくつかの評価では、2026 年までに公開鍵暗号が破られる可能性が 7 分の 1 あるとされています。数千億ドルの資産を保護している立場からすれば、これは決して安心できる猶予ではありません。
単一の組織がアップグレードを強制できる従来のシステムとは異なり、ブロックチェーンは調整という難題に直面します。ユーザーにウォレットのアップグレードを強制することはできません。すべてのスマートコントラクトにパッチを当てることも不可能です。そして、量子コンピュータがショアのアルゴリズムを実行できるようになれば、公開鍵を公開しているすべてのトランザクションが、秘密鍵の抽出に対して脆弱になります。ビットコインの場合、それは再利用されたアドレスや公開済みのアドレスに保管されている全 BTC の約 25% に相当します。イーサリアムの場合、アカウント抽象化(Account Abstraction)によってある程度の救済は可能ですが、レガ�シーアカウントは依然として危険にさらされます。
2026 年 1 月、イーサリアム財団は Thomas Coratger 氏が率い、leanVM の暗号学者 Emile 氏がサポートする専用の耐量子(Post-Quantum: PQ)チームを発表しました。シニアリサーチャーの Justin Drake 氏は、耐量子セキュリティを財団の「最優先の戦略的課題」と呼びました。これまで長期的な研究トピックであったものが、異例の速さで格上げされたことになります。
財団は、多額の資金提供を行っています。
ハッシュベースの暗号は、財団が選択した進むべき道です。NIST(米国立標準技術研究所)によって標準化された格子ベース(Lattice-based)やコードベース(Code-based)の代替案(CRYSTALS-Kyber や Dilithium など)とは異なり、ハッシュ関数はセキュリティ上の仮定がより単純であり、ブロックチェーン環境ですでに実戦投入されています。欠点は、署名サイズが大きくなり�、より多くのストレージを必要とすることですが、イーサリアムは長期的な量子耐性のためにそのトレードオフを受け入れる構えです。
Drake 氏は、leanVM をイーサリアムの耐量子アプローチの「要」と表現しました。このミニマリストなゼロ知識証明仮想マシンは、量子耐性のあるハッシュベースの署名に最適化されています。楕円曲線ではなくハッシュ関数に焦点を当てることで、leanVM はショアのアルゴリズムに対して最も脆弱な暗号プリミティブを回避します。
なぜこれが重要なのでしょうか? それは、イーサリアムの L2 エコシステム、DeFi プロトコル、プライバシーツールがすべてゼロ知識証明に依存しているからです。基盤となる暗号が量子に対して安全でなければ、スタック全体が崩壊します。LeanVM は、量子コンピュータが登場する前に、これらのシステムを将来にわたって保護することを目指しています。
すでに Zeam、Ream Labs、PierTwo、Gean client、Ethlambda を含む複数のチームが、Lighthouse、Grandine、Prysm といった既存のコンセンサスクライアントと協力して、マルチクライアントの耐量子開発ネットワークを運用しています。これは単なる概念実証(Vaporware)ではなく、今日現在ストレス・テストが行われている実稼働インフラです。
また、財団は All Core Developers プロセスの一環として、隔週でブレイクアウト��・コール(個別会議)を開始しています。そこでは、プロトコルに直接組み込まれる専用の暗号機能、新しいアカウント設計、leanVM を使用した長期的な署名集約戦略など、ユーザー向けのセキュリティ変更に焦点を当てています。
イーサリアムを耐量子暗号に移行させることは、単純なソフトウェアアップデートではありません。それはネットワークのすべての参加者に影響を与える、数年にわたる多層的な調整作業です。
レイヤー 1 プロトコル: コンセンサス層を量子耐性のある署名スキームに切り替える必要があります。これにはハードフォークが必要です。つまり、すべてのバリデーター、ノードオペレーター、およびクライアントの実装が同期してアップグレードされなければなりません。
スマートコントラクト: イーサリアム上にデプロイされている数百万のコントラクトは、署名検証に ECDSA を使用しています。プロキシパターンやガバナンスを介してアップグレード可能なものもありますが、変更不可能なものも多く存在します。Uniswap、Aave、Maker などのプロジェクトには、移行計画が必要になるでしょう。
ユーザーウォレット: MetaMask、Ledger、Trust Wallet など、すべてのウォレットが新しい署名スキームをサポート��する必要があります。ユーザーは資金を古いアドレスから量子的に安全な新しいアドレスに移行させなければなりません。ここで「今収穫して、後で解読する(Harvest now, decrypt later)」という脅威が現実味を帯びてきます。攻撃者は今日のトランザクションを記録しておき、量子コンピュータが登場した時点でそれらを解読する可能性があります。
L2 ロールアップ: Arbitrum、Optimism、Base、zkSync などはすべて、イーサリアムの暗号学的仮定を継承しています。各ロールアップは独自に移行するか、さもなければ量子に対して脆弱なサイロ化のリスクを負うことになります。
この点において、イーサリアムにはアドバンテージがあります。それはアカウント抽象化(Account Abstraction)です。ユーザーが手動で資金を移動させる必要があるビットコインの UTXO モデルとは異なり、イーサリアムのアカウントモデルは、暗号方式をアップグレード可能なスマートコントラクトウォレットをサポートできます。これにより移行の課題がすべて解消されるわけではありませんが、より明確な道筋が示されています。
イーサリアムだけではありません。より広範なブロックチェーンエコシステムも、量子脅威に気づき始めています。
QRL (Quantum Resistant Ledger): ハッシュベースの署名規格である XMSS (eXtended Merkle Signature Scheme) を用いて、当初から構築されました。QRL 2.0 (Project Zond) は 2026 年第 1 四半期にテストネットに入り、監査とメインネットのリリースが続く予定です。
01 Quantum: 2026 年 2 月初旬に耐量子ブロックチェーン移行ツールキットを立ち上げ、Hyperliquid 上で $qONE トークンを発行しました。彼らのレイヤー 1 移行ツールキットは 2026 年 3 月までにリリースされる予定です。
ビットコイン: 複数の提案(ポスト量子オペコードの BIP、新しいアドレスタイプのソフトフォークなど)が存在しますが、ビットコインの保守的なガバナンスにより、急速な変更は起こりにくいと考えられます。量子コンピュータが予想よりも早く登場した場合、論争を呼ぶハードフォークのシナリオが浮上します。
Solana、Cardano、Ripple: これらはすべて楕円曲線ベースの署名を使用しており、同様の移行課題に直面しています。ほとんどは初期の研究段階にあり、専任のチームやタイムラインは発表されていません。
上位 26 のブロックチェーンプロトコルを調査したところ、24 が純粋に量子脆弱な署名スキームに依存していることが明らかになりました。現在、耐量子の基盤を備えているのは 2 つ(QRL と、あまり知られていない別のチェーン)だけです。
急進的なタイムライン(5 ~ 10 年): 量子コンピューティングのブレークスルーが加速します。2031 年までに 100 万物理量子ビットのマシンが登場し、業界にはネットワーク全体の移行を完了させるために 5 年間の猶予しか与えられません。準備を始めていないブロックチェーンは、壊滅的な鍵の露出に直面します。ここではイーサリアムの先行スタートが重要になります。
保守的なタイムライン(20 ~ 40 年): 量子コンピューティングは、エラー訂正やエンジニアリングの課題に制約され、ゆっくりと進行します。ブロックチェーンには、慎重なペースで移行するための十分な時間があります。Ethereum 財団の早期投資は賢明に見えますが、緊急性は低くなります。
ブラックスワン(2 ~ 5 年): 公開されているロードマップが示唆する前に、機密または民間の量子ブレークスルーが発生します。国家主体や資金力のある攻撃者が暗号技術的な優位性を獲得し、脆弱なアドレスからのサイレントな盗難を可能にします。これは、ポスト量子セキュリティを今日の「最優先戦略」として扱うことを正当化するシナリオです。
中間的なシナリオが最も可能性が高いですが、ブロックチェーンは中間のシナリオだけを想定して計画を立てるわけにはいきません。予測が外れた場合のマイナス面は、存亡に関わるからです。
イーサリアム上で開発を行っている開発者向け:
ETH またはトークンを保有しているユーザー向け:
企業および機関向け:
イーサリアムの 200 万ドルの研究賞金、専任チーム、およびマルチクライアント開発ネットワークは、ブロックチェーン業界で最も積極的なポスト量子の取り組みを象徴しています。しかし、それで十分でしょうか?
楽観的なケース:はい。イーサリアムのアカウント抽象化、強固な研究文化、そして早期のスタートにより、スムーズな移行の最高のチャンスが得られます。量子コンピュータが保守的な 20 ~ 40 年のタイムラインに従うなら、イーサリアムは十分前もって耐量子インフラを展開しているでしょう。
悲観的なケース:いいえ。数百万人 appeal のユーザー、数千人の開発者、そして数百のプロトコルを調整することは前例がありません。最高のツールがあっても、移行は遅く、不完全で、論争の的となるでしょう。不変のコントラクト、紛失した鍵、放棄されたウォレ��ットなどのレガシーシステムは、無期限に量子脆弱なまま残ります。
現実的なケース:部分的な成功。コアとなるイーサリアムは正常に移行します。主要な DeFi プロトコルや L2 もそれに続くでしょう。しかし、小規模なプロジェクト、非アクティブなウォレット、エッジケースの長いテールは、量子脆弱な残骸として残り続けます。
Ethereum 財団のポスト量子緊急事態への対応は、業界が負けるわけにはいかない賭けです。200 万ドルの賞金、専任チーム、そして稼働中の開発ネットワークは、真剣な意図を示しています。ハッシュベースの暗号、leanVM、およびアカウント抽象化は、信頼できる技術的経路を提供します。
しかし、意図は実行ではありません。本当の試練は、量子コンピュータが研究上の好奇心から暗号技術的な脅威へと移行したときに訪れます。その時までに、移行の窓口は閉じられているかもしれません。イーサリアムは今、他のプレイヤーがまだ靴紐を結んでいる間に、すでにレースを走っています。
量子脅威はハイプではありません。それは数学です。そして数学は、ロードマップや善意を気にしません。問題は、ブロックチェーンにポスト量子セキュリティが必要かどうかではなく、Q-Day が来る前に移行を完了できるかどうかです。
イーサリアムの積極的な量子防御戦略は�、堅牢で将来にわたって有効なブロックチェーンインフラストラクチャの重要性を浮き彫りにしています。BlockEden.xyz では、業界のセキュリティニーズとともに進化するように設計された基盤の上に、エンタープライズグレードのイーサリアムおよびマルチチェーン API アクセスを提供しています。当社のサービスを探索して、長期的に信頼できるインフラストラクチャ上で構築を開始してください。
2026 年 1 月に Coinbase がポスト量子諮問委員会を設立したことは、セキュリティ研究者が長年警告してきたことを裏付けました。それは、量子コンピュータが現在のブロックチェーン暗号を打破し、量子耐性を持つクリプト(暗号資産)への競争が始まったということです。QRL の XMSS 署名、StarkWare のハッシュベースの STARKs、そしてイーサリアムの 200 万ドルの研究賞金は、2026 年の市場リーダーシップを狙うプロジェクトの最前線を表しています。問題は、ブロックチェーンに量子耐性が必要かどうかではなく、「Q-Day」が到来したときにどの技術的アプローチが支配的になるかです。
ポスト量子ブロックチェーン分野は 2 つのカテゴリに分かれます。既存のチェーン(Bitcoin、Ethereum)の改修と、ネイティブな量子耐性プロトコル(QRL、Quantum1)です。それぞれが異なる課題に直面しています。改修の場合は、後方互換性を維持し、分散化されたアップグレードを調整し、公開された公開鍵を管理する必要があります。ネイティブプロトコルは量子耐性暗号を用いてゼロからスタートしますが、ネットワーク効果に欠けています。どちらのアプローチも必要です。レガシ��ーチェーンは保護されるべき数兆ドルの価値を保持しており、新しいチェーンはジェネシス(創設)時から量子耐性を最適化できるからです。
Quantum Resistant Ledger (QRL) は、最初からポスト量子暗号を実装した最初のブロックチェーンとして 2018 年にローンチされました。このプロジェクトは、数論ではなくハッシュ関数を通じて量子耐性を提供するハッシュベースの署名アルゴリズムである XMSS (eXtended Merkle Signature Scheme) を採用しました。
なぜ XMSS なのか? SHA-256 のようなハッシュ関数は、量子コンピュータがハッシュ衝突を大幅に加速させないため(グローバーのアルゴリズムは 2 次の加速を提供しますが、ECDSA に対するショアのアルゴリズムのような指数関数的な加速は提供しません)、量子耐性があると考えられています。XMSS はこの特性を活用し、ハッシュ値のメルクルツリーから署名を構築します。
トレードオフ: XMSS 署名はサイズが大きく(ECDSA の 65 バイトに対し約 2,500 バイト)、トランザクションコストが高くなります。各アドレスの署名能力には制限があり、N 個の署名を生成した後、ツリーを再生成する必要があります。このステートフルな性質により、慎重な鍵管理が求められます。
市場の地位: QRL は、Bitcoin や Ethereum と比較してトランザクション量が少なく、ニッチな存在に留まっています。しかし、量子耐性を持つブロックチェーンが技術的に実行可能であることを証明しています。Q-Day が近づくにつれ、QRL は実戦で鍛えられた選択肢として注目を集める可能性があります。
今後の見通し: 量子の脅威が予想よりも早く現実化した場合、QRL の先行者利益が重要になります。このプロトコルには、ポスト量子署名を用いた長年の運用実績があります。量子セーフな資産保持を求める機関投資家は、「量子保険」として QRL に割り当てを行うかもしれません。
StarkWare の STARK (Scalable Transparent Argument of Knowledge) 技術は、そのゼロ知識証明アーキテクチャの副次的なメリットとして量子耐性を提供します。STARKs はハッシュ関数と多項式を使用しており、ショアのアルゴリズムに対して脆弱な楕円曲線暗号を回避しています。
なぜ STARKs が重要なのか: (信頼できるセットアップを必要とし、楕円曲線を使用する)SNARKs とは異なり、STARKs は透明(信頼できるセットアップが不要)であり、量子耐性があります。これにより、スケーリングソリューション (StarkNet) やポスト量子への移行に理想的です。
現在の用途: StarkNet は、Ethereum の L2 スケーリングとし��てトランザクションを処理しています。量子耐性は潜在的なものであり、現時点では主要な機能ではありませんが、量子の脅威が増大するにつれて貴重な特性となります。
統合パス: イーサリアムは、移行期間中に ECDSA との後方互換性を維持しながら、ポスト量子セキュリティのために STARK ベースの署名を統合する可能性があります。このハイブリッドアプローチにより、段階的な移行が可能になります。
課題: STARK 証明はサイズが大きく(数百キロバイト)、圧縮技術は向上しているものの、依然として課題です。検証は高速ですが、証明の生成には高い計算コストがかかります。これらのトレードオフにより、高頻度アプリケーションのスループットが制限されます。
展望: STARKs は、直接的な署名スキームとして、あるいはレガシーアドレスを移行するためのラッパーとして、イーサリアムのポスト量子ソリューションの一部になる可能性が高いです。StarkWare の本番環境での実績とイーサリアムへの統合により、この道筋は有力視されています。
イーサリアム財団が 2026 年 1 月にポスト量子暗�号を「最優先の戦略的課題」に指定した際、実用的な移行ソリューションに対して 200 万ドルの研究賞金が授与されました。焦点は、ハッシュベースの署名 (SPHINCS+, XMSS) と格子ベースの暗号 (Dilithium) です。
SPHINCS+: NIST によって標準化されたステートレスなハッシュベースの署名スキームです。XMSS とは異なり、SPHINCS+ は状態管理を必要としません。つまり、1 つの鍵で無制限にメッセージを署名できます。署名サイズは大きくなりますが(約 16~40KB)、ステートレスな特性により統合が簡素化されます。
Dilithium: ハッシュベースの代替案よりも署名サイズが小さく(約 2.5KB)、検証が高速な格子ベースの署名スキームです。セキュリティは、量子耐性があると信じられている格子問題に依存しています。
イーサリアムの課題: イーサリアムの移行には、過去のトランザクションから露出した公開鍵への対処、移行中の後方互換性の維持、および L2 の経済性を損なわないための署名サイズの肥大化の最小化が必要です。
研究の優先事項: 200 万ドルの賞金は、実用的な移行パスを対象としています。ネットワークをどのようにフォークするか、アドレス形式をどのように移行するか、レガシーキーをどのように処理するか、そして数年にわたる移行期間中のセキュリティをどのように維持するかといった点です。
タイムライン: イーサリアムの開発者は、研究から本番環境へのデプロイまで 3~5 年かかると見積もっています。これは、Q-Day がそれより早く到来しないと仮定すれば、メインネットでのポスト量子アクティベーション��は 2029 年から 2031 年頃になることを示唆しています。
耐量子計算機暗号を議論する Bitcoin Improvement Proposals(BIPs)はドラフト段階にありますが、コンセンサス形成は緩やかです。ビットコインの保守的な文化は、未検証の暗号技術を拒み、十分に実戦で鍛えられたソリューションを好みます。
有力なアプローチ:保守的なセキュリティプロファイルを持つハッシュベース署名(SPHINCS+)が検討されています。ビットコインは効率性よりもセキュリティを優先し、リスクを低減するために署名サイズが大きくなることを許容します。
Taproot の統合:ビットコインの Taproot アップグレードにより、ハードフォークなしで耐量子署名に対応できるスクリプトの柔軟性が実現しました。Taproot スクリプトには、ECDSA と並行して耐量子署名の検証を組み込むことができ、ユーザーが任意で移行(オプトイン)できるようになります。
課題:公開されたアドレスに存在する 665 万 BTC です。ビットコインは、強制的な移行(紛失したコインのバーン)、自発的な移行(量子攻撃による盗難リスク)、あるいは損失を許容するハイブリッドアプローチのいずれかを選択しなけれ��ばなりません。
タイムライン:ビットコインの動きはイーサリアムよりも低速です。BIP が 2026 年から 2027 年にコンセンサスを得たとしても、メインネットでのアクティベーションは 2032 年から 2035 年までかかる可能性があります。このタイムラインは、Q-Day(量子計算機が暗号を打破する日)が差し迫っていないことを前提としています。
コミュニティの分裂:一部のビットコインマキシマリストは量子の緊急性を否定し、遠い脅威と見なしています。一方で、即時の行動を主張する者もいます。この緊張関係がコンセンサス形成を遅らせています。
Quantum1(新興プロジェクトの仮の例)は、ジェネシス段階から耐量子設計がなされたブロックチェーンの新しい波を象徴しています。QRL(単純な決済)とは異なり、これらのプラットフォームは耐量子セキュリティを備えたスマートコントラクト機能を提供します。
アーキテクチャ:格子ベース署名(Dilithium)、ハッシュベースのコミットメント、およびゼロ知識証明を組み合わせ、プライバシーを保護した耐量子スマートコントラクトを実現します。
価値提案:10 年以上の長期的なスパンを持つアプリケーションを構築する開発者は、後付けで対策を講じるチェーンよりも、ネイティブな耐量子プラットフォームを好む可能性があります。2030 年に移行するためだけに、なぜ今日イーサリアム上で構築するのでしょうか。
課題:ネットワーク効果は既存のチェーンに有利に働きます。ビットコインとイーサリアムには流動性、ユーザー、開発者、そしてアプリケーションが存在します。新しいチェーンは、技術的な優位性に関わらず、普及に苦戦します。
潜在的な起爆剤:主要なチェーンに対する量子攻撃が発生すれば、耐量子代替案への資金逃避が起こるでしょう。Quantum1 型のプロジェクトは、既存チェーンの失敗に対する保険のような存在です。
Coinbase による耐量子諮問委員会の設立は、量子の備えに対する機関投資家レベルの関心を示しています。受託者責任を負う上場企業として、Coinbase は顧客資産に対するリスクを無視することはできません。
諮問委員会の役割:量子脅威の評価、移行戦略の推奨、プロトコル開発者との調整、および Coinbase のインフラが耐量子移行に対応できる状態にあることの確認。
機関投資家の影響力:Coinbase は数十億ドル相当の顧客資産を保有しています。Coinbase が特定の耐量子標準に向けてプロトコルを後押しすれば、その影響力は無視できません。取引所の参加は採用を加速させます。取引所が耐量子アドレスのみをサポートするようになれば、ユーザーの移行は早まります。
タイムラインの圧力:Coinbase の公的な関与は、機関投資家のタイムラインがコミュニティで語られているものよりも短いことを示唆しています。上場企業は 30 年先のリスクのために諮問委員会を設立したりはしません。
競争環境の要約:
各プロジェクトは、セキュリティ対効率性、後方互換性対クリーンステート、NIST 標準アルゴリズム対実験的アルゴリズムなど、異なるトレードオフを最適化しています。
開発者にとって:10 年以上の展望を持つアプリケーションを構築する場合、耐量子移行を考慮すべきです。イーサリアム上のアプリケーションはいずれ耐量子アドレス形式をサポートする必要があります。今計画を立てることで、将来の技術的負債を軽減できます。
投資家にとって:耐量子チェーンとレガシーチェーンの両方に分散投資することは、量子リスクに対するヘッジとなります。QRL や同様のプロジェクトは投機的ですが、量子脅威が予想よりも早く現実化した場合、非対称なアップサイド(大きな利益)を提供します。
機関にとって:耐量子の備えは投機ではなくリスク管理です。顧客資産を預かるカストディアンは、移行戦略を策定し、プロトコル開発者と連携し、インフラが耐量子署名をサポートできるようにする必要があります。
プロトコルにとって:移行の窓口は閉まりつつあります。2026 年に耐量子研究を開始するプロジェクトは、2029 年から 2031 年までデプロイできません。Q-Day �が 2035 年に到来する場合、耐量子セキュリティを確立するための時間は 5 年から 10 年しか残されていません。開始が遅れると、時間が不足するリスクがあります。
ビットコインのトランザクションに署名すると、公開鍵がブロックチェーン上に恒久的に公開されます。これまでの 15 年間、これは問題ではありませんでした。ビットコインを保護する ECDSA 暗号は、古典的なコンピュータでは計算上解読が不可能だからです。しかし、量子コンピュータがすべてを変えます。十分に強力な量子コンピュータ(Q-Day)が登場すると、公開された公開鍵から秘密鍵を数時間で再構築し、アドレスから資産を流出させることが可能になります。あまり認識されていない Q-Day の問題は、単なる「暗号のアップグレード」ではありません。署名済みのトランザクションを持つアドレスにある 665 万 BTC がすでに脆弱な状態にあり、その移行は企業の IT システムのアップグレードよりも指数関数的に困難であるということです。
イーサリアム財団による 200 万ドルの耐量子計算機研究賞と、2026 年 1 月の専用 PQ チームの結成は、「最優先の戦略的課題」となったことを示しています。これは将来の計画ではなく、緊急の準備です。Project Eleven は、耐量子暗号セキュリティに特化して 2,000 万ドルを調達しました。Coinbase は耐量子アドバイザリーボードを設立しました。Q-Day への競争はすでに始まっており、ブロックチェーンは、不変の履歴、分散型の調整、公開鍵が露出したアドレスに眠る 665 万 BTC といった、従来のシステムにはない独自の課題に直面しています。
ビットコインのセキュリティは、根本的な非対称性に依存しています。秘密鍵から公開鍵を導出するのは簡単ですが、その逆は計算上不可能です。ビットコインアドレスは公開鍵のハッシュであり、さらなる保護レイヤーを提供しています。公開鍵が隠されている限り、攻撃者は特定の鍵を標的にすることはできません。
しかし、トランザクションに署名した瞬間、公開鍵はブロックチェーン上で可視化されます。これは避けられないことです。署名の検証には公開鍵が必要だからです。資金を受け取るにはアドレス(公開鍵のハッシュ)で十分ですが、資金を使うには鍵を明かす必要があります。
古典的なコンピュータはこの露出を悪用できません。ECDSA-256(ビットコインの署名方式)を破るには離散対数問題を解く必要があり、それには 2^128 回の演算が必要と推定されています。これは、スーパーコンピュータが数千年稼働しても不可能です。
量子コンピュータはこの前�提を崩します。十分な量子ビットと誤り訂正を備えた量子コンピュータ上で動作するショアのアルゴリズムは、多項式時間で離散対数問題を解くことができます。推定では、約 1,500 個の論理量子ビットを持つ量子コンピュータがあれば、数時間で ECDSA-256 を解読できるとされています。
これにより、重大な脆弱性の窓(ウィンドウ)が生じます。一度アドレスからトランザクションに署名すると、公開鍵はオンチェーンで永久に公開されます。後に量子コンピュータが登場すると、過去に公開されたすべての鍵が脆弱になります。署名済みのトランザクションを持つアドレスに保持されている 665 万 BTC は、公開鍵が恒久的に露出した状態で Q-Day を待っていることになります。
トランザクション履歴のない新しいアドレスは、公開鍵が露出していないため、最初に使用するまで安全です。しかし、レガシーアドレス(サトシのコイン、初期採用者の保有分、署名履歴のある取引所のコールドストレージなど)は、時限爆弾のような状態です。
従来の IT システムも量子脅威に直面しています��。銀行、政府、企業は、量子攻撃に脆弱な暗号を使用しています。しかし、彼らの移行パスは明確です。暗号アルゴリズムをアップグレードし、鍵を更新(ローテーション)し、データを再暗号化することです。費用がかかり複雑ではありますが、技術的には可能です。
ブロックチェーンの移行は、独自の課題に直面しています。
不変性: ブロックチェーンの履歴は永続的です。過去のトランザクションを遡って変更し、露出した公開鍵を隠すことはできません。一度公開されれば、数千のノードにわたって永遠に公開されたままになります。
分散型の調整: ブロックチェーンにはアップグレードを強制する中央当局がありません。ビットコインのコンセンサスには、マイナー、ノード、ユーザーの間での多数派の合意が必要です。耐量子移行のためのハードフォークを調整することは、政治的および技術的に複雑です。
後方互換性: 移行期間中、新しい耐量子アドレスはレガシーアドレスと共存する必要があります。これにより、2 つの署名方式、二重のアドレス形式、混合モードのトランザクション検証といったプロトコルの複雑さが生じます。
紛失した鍵と非アクティブなユーザー: 数百万 BTC が、鍵を紛失した人、亡くなった人、あるいは数年前に暗号資産を放棄した人が所有するアドレスに眠っています。これらのコインは自発的に移行することができません。これらを脆弱なままにしておくのか、それともプロトコルが強制的に移行させ、アクセス権を失わせるリスクを取るのかという問題があります。
トランザクシ�ョンサイズとコスト: 耐量子署名は ECDSA よりも大幅に大きくなります。署名サイズは、方式によって 65 バイトから 2,500 バイト以上に増加する可能性があります。これによりトランザクションデータが膨張し、手数料の上昇やスループットの制限を招きます。
コンセンサスによるアルゴリズムの選択: どの耐量子アルゴリズムを採用すべきか。NIST はいくつかを標準化しましたが、それぞれにトレードオフがあります。選択を誤れば、後に再移行が必要になるかもしれません。ブロックチェーンは、数十年にわたって安全性を維持できるアルゴリズムに賭ける必要があります。
イーサリアム財団の 200 万ドルの研究賞は、まさにこれらの問題を対象としています。ネットワークを壊さず、後方互換性を失わず、また署名の肥大化によってブロックチェーンが使用不能になることなしに、どのようにイーサリアムを耐量子暗号へと移行させるかという課題です。
2026 年時点で、少なくとも 1 回はトランザクションに署名したことがある、つまり公開鍵が露出しているアドレスには、約 665 万 BTC が保管されています。これはビットコインの総供給量の約 30 % に相当し、以下が含まれます�:
サトシのコイン:ビットコインの創設者によってマイニングされた約 100 万 BTC は移動されないまま残っています。これらのアドレスの多くはトランザクションに署名したことがありませんが、初期のトランザクションによって鍵が露出しているものもあります。
初期アダプターの保有資産:1 コイン数セントの時代に蓄積した初期のマイナーやアダプターが保有する数千 BTC。多くのアドレスは休眠状態ですが、過去のトランザクション署名が存在します。
取引所のコールドストレージ:取引所は数百万 BTC をコールドストレージに保管しています。ベストプラクティスではアドレスをローテーションしますが、レガシーなコールドウォレットには、過去の集約トランザクションによって公開鍵が露出しているものがよくあります。
紛失したコイン:推定 300 万 〜 400 万 BTC が紛失しています(所有者の死亡、鍵の紛失、ハードドライブの廃棄など)。これらのアドレスの多くでも鍵が露出しています。
Q-Day(量子コンピュータが既存の暗号を破る日)に、これらのコインはどうなるのでしょうか?いくつかのシナリオが考えられます:
シナリオ 1 - 強制的な移行:ハードフォークによって、期限内に古いアドレスから新しい耐量子アドレスへコインを移動することを義務付けます。移行されなかったコインは使用不能になります。これにより紛失したコインは「バーン(焼却)」されますが、ネットワークを量子攻撃による資産流出から守ることができます。
シナリオ 2 - 自発的な移行:ユーザーは自��発的に移行しますが、公開済みの旧アドレスも有効なまま残ります。リスク:所有者が移行する前に、量子攻撃者が脆弱なアドレスから資金を盗み出す可能性があります。これにより「移行への競争」というパニックが引き起こされます。
シナリオ 3 - ハイブリッドアプローチ:耐量子アドレスを導入しつつ、後方互換性を無期限に維持します。脆弱なアドレスが Q-Day 以降に最終的に盗まれることを受け入れ、それを「自然淘汰」として扱います。
シナリオ 4 - 緊急凍結:量子攻撃を検知した時点で、緊急ハードフォークを介して脆弱なアドレスタイプを凍結します。移行の時間を稼ぐことができますが、ビットコインが拒絶する中央集権的な意思決定が必要になります。
どれも理想的ではありません。シナリオ 1 は正当に紛失した鍵を破壊します。シナリオ 2 は量子盗難を許容します。シナリオ 3 は数十億ドルの損失を受け入れます。シナリオ 4 はビットコインの不変性を損ないます。イーサリアム財団とビットコインの研究者たちは、遠い未来ではなく、今このトレードオフに取り組んでいます。
いくつかの耐量子暗号アルゴリズムが、量子攻撃への耐性を提供します:
ハッシュベース署名(XMSS, SPHINCS+):ハッシュ関数に依存するセキュリティで、量子耐性があると考えられています。利点:理解が進んでおり、保守的なセキュリティ前提に基づいています。欠点:署名サイズが大きく(2,500 バイト以上)、トランザクションコストが高くなります。
格子暗号(Dilithium, Kyber):量子コンピュータにとって困難な格子問題に基づいています。利点:署名サイズが比較的小さく(約 2,500 バイト)、検証が効率的です。欠点:ハッシュベースの手法に比べて新しく、十分に検証されていません。
STARKs(Scalable Transparent Arguments of Knowledge):数論ではなくハッシュ関数に依存するため、量子攻撃に耐性があるゼロ知識証明です。利点:透明性(信頼できるセットアップが不要)、量子耐性、スケーラビリティ。欠点:証明サイズが大きく、計算負荷が高いです。
多変数公衆鍵暗号(Multivariate cryptography):多変数多項式方程式の解法の困難さに依存します。利点:署名生成が高速です。欠点:公開鍵のサイズが大きく、未成熟です。
コードベース暗号:誤り訂正符号に基づいています。利点:高速で、研究が進んでいます。欠点:鍵サイズが非常に大きく、ブロックチェーンでの利用には不向きです。
イーサリアム財団は、ブロックチェーンへの統合に最も有望なものとして、ハッシュベースと格子ベースの署名を調査しています。QRL(Quantum Resistant Ledger)は 2018 年に XMSS 実装を先駆けて行い、実現可能性を示しましたが、トランザクションサイズとスループットのトレードオフを受け入れています。
ビットコインは、その保守的なセ��キュリティ哲学から、ハッシュベース署名(SPHINCS+ または類似のもの)を選択する可能性が高いでしょう。イーサリアムは、サイズのオーバーヘッドを最小限に抑えるために格子ベース(Dilithium)を選択するかもしれません。どちらも同じ課題に直面しています。ECDSA よりも 10 〜 40 倍大きな署名は、ブロックチェーンのサイズとトランザクションコストを急増させます。
Q-Day(量子コンピュータが ECDSA を破る日)の予測は推測の域を出ませんが、傾向は明らかです:
楽観的(攻撃者にとって)なタイムライン:10 〜 15 年。IBM、Google、およびスタートアップ企業は、量子ビット数とエラー訂正において急速な進歩を遂げています。この進歩が指数関数的に続けば、2035 年 〜 2040 年までに 1,500 以上の論理量子ビットが登場する可能性があります。
保守的なタイムライン:20 〜 30 年。量子コンピューティングは、エラー訂正、量子ビットのコヒーレンス、スケーリングなど、膨大なエンジニアリング上の課題に直面しています。実用的な攻撃はまだ数十年先だと考える人は多いです。
悲観的(ブロックチェーンにとって)なタイムライン:5 〜 10 年。政府の秘密プログラムや画期的な発見がタイムラインを加速さ�せる可能性があります。慎重な計画を立てるなら、長いタイムラインではなく、短いタイムラインを想定すべきです。
イーサリアム財団が 2026 年 1 月に耐量子移行を「最優先の戦略的課題」として扱っていることは、内部の推測が公開されている議論よりも短いことを示唆しています。30 年後のリスクのために 200 万ドルを割り当て、専用チームを編成することはありません。10 〜 15 年後のリスクであれば、そうするでしょう。
ビットコインの文化は緊急性に抵抗しますが、主要な開発者は問題を認識しています。耐量子ビットコインの提案(BIP 草案段階)は存在しますが、コンセンサスの形成には何年もかかります。もし Q-Day が 2035 年に到来するのであれば、ビットコインは開発、テスト、ネットワーク展開の時間を確保するために、2030 年までに移行を開始する必要があります。
プロトコルレベルの解決策の実現にはまだ数年かかりますが、個人レベルでリスクへの露出を減らすことは可能です。
定期的に新しいアドレスへ移行する: アドレスから資金を支払った後は、残りの資金を新しいアドレスに移動させてください。これにより、公開鍵が公開される時間を最小限に抑えることができます。
マルチシグ(マルチシグネチャ)ウォレットを使用する: 量子コンピュータは複数の署名を同時に突破する必要があるため、難易度が上がり�ます。完全に耐量子性(量子耐性)があるわけではありませんが、時間を稼ぐことができます。
アドレスの再利用を避ける: 一度支払いに使用したアドレスには、決して資金を送らないでください。支払うたびに公開鍵が新たに公開されてしまいます。
動向を監視する: Ethereum Foundation の耐量子(PQ)研究、Coinbase のアドバイザリーボードの更新、および耐量子暗号に関連する Bitcoin 改良提案(BIP)をフォローしてください。
資産を分散する: 量子リスクが懸念される場合は、量子耐性のあるチェーン(QRL)や、比較的影響の少ない資産(プルーフ・オブ・ワークよりも移行が容易なプルーフ・オブ・ステークのチェーンなど)に分散してください。
これらはあくまで応急処置であり、根本的な解決策ではありません。プロトコルレベルでの修正には、数十億ドルの価値と数百万人ものユーザーにわたる、協調的なネットワークのアップグレードが必要です。この課題は単に技術的なものだけでなく、社会的、政治的、そして経済的なものでもあります。
AI モデルが処理したデータを誰にも見られることなく、正しく実行されたことを証明できるとしたらどうでしょうか? この問いは、長年にわたり暗号学者やブロックチェーンエンジニアを悩ませてきました。2026 年、かつては遅すぎ、高価すぎ、そしてあまりに理論的すぎて実用的ではないと考えられていた 2 つの技術、ゼロ知識機械学習(ZKML)と完全準同型暗号(FHE)の融合により、その答えがついに形を成しつつあります。
個別に見れば、それぞれの技術は問題の半分しか解決しません。ZKML は、AI の計算を再実行することなく、それが正しく行われたことを検証可能にします。FHE は、データを復号することなく、暗号化されたまま計算を行うことを可能にします。これらが組み合わさることで、研究者が AI の「暗号学的シール(封印)」と呼ぶものが生まれます。これは、プライベートなデータがデバイスから離れることなく、その結果がパブリックブロックチェーン上の誰に対しても信頼できるものであると証明できるシステムです。