「量子コンピュータがビットコインを破壊する」という見出しが躍っています。しかし現実は、ビットコインのセキュリティの特定の部分が脆弱であるに過ぎません。Blockstreamのエンジニアたちは、すでにその修正に取り組んでいます。
量子コンピュータとは何か?
あなたのノートPCは「ビット(bit)」で思考します。これは0か1のいずれかの状態をとる極小のスイッチです。ウェブページを読み込むことからビットコインのトランザクションを検証することまで、コンピュータが行うあらゆる計算は、これら数十億のスイッチを極めて高速に切り替えることに集約されます。
一方、量子コンピュータは「量子ビット(qubit)」で思考します。ビットが常に0か1であるのに対し、量子ビットはその両方の組み合わせを保持し、測定した瞬間にのみ単一の値に確定します。多くの量子ビットを組み合わせることで、量子ビットの数に応じて指数関数的に増大する「可能な状態」のセットが生成されます。量子ハードウェアを制御する数学的性質により、古典的なコンピュータでは到底太刀打ちできない方法で、これらすべての状態に対して一度に計算を実行することが可能になります。
迷路を例に考えてみましょう。通常のコンピュータは、出口が見つかるまで一つずつ経路を試していきます。量子コンピュータは、多くの経路を同時に探索します。特定の種類の数学的問題において、これは極めて少ないステップで答えにたどり着けることを意味します。ただし、この利得は万能ではありません。量子コンピュータは特定の狭い範囲の数学的問題には優れていますが、あらゆることにおいて優れているわけではないのです。
量子コンピュータは単なる「高速なコンピュータ」ではありません。ウェブブラウザが速くなったり、動画のストリーミングがスムーズになったり、ドキュメントの読み込みが早くなったりすることはありません。これらは特殊なツールであり、彼らが得意とする問題の一つが、ビットコインがあなたの鍵を保護する方法に直接関係しているのです。
ビットコインがいかにして資金を守っているか
ビットコインは、あなたのビットコインを保護するために2種類の数学を使用しています。
1つ目のタイプは所有権を証明するものです。 ビットコインを送金する際、秘密の鍵(プライベートキー)を使ってトランザクションに署名することで、それが自分のものであることを証明します。ネットワークは、関連する公開鍵(パブリックキー)を使用してあなたの署名をチェックします。システム全体は、「公開鍵からプライベートキーを復元することは誰にもできない」という一つの仮定に依存しています。今日のコンピュータには不可能です。宇宙の年齢よりも長い時間がかかるでしょう!
2つ目のタイプはマイニングの安全性を確保するものです。 ビットコインのマイナーは、1秒間に数兆回の推測を行うことで、特定のハッシュ出力を最初に見つけようと競い合います。これによりネットワークの稼働が維持され、何者もトランザクション履歴を書き換えることができないようになっています。
量子コンピュータは、1つ目のタイプを直接的に脅かします。2つ目への影響ははるかに遠い将来の話であり、ネットワークの整合性というよりは分散化に関する懸念です。
なぜ量子コンピュータが方程式を変えるのか
特定のアルゴリズム(ショアのアルゴリズムと呼ばれる)を実行する量子コンピュータは、公開鍵から逆算してプライベートキーを復元することができます。プライベートキーさえ手に入れば、攻撃者はビットコインを奪うことができます。
鍵前をイメージしてください。今日のコンピュータは、現実的な時間内にこの鍵を開けることはできません。しかし、十分に強力な量子コンピュータなら可能です。
マイニング側では異なる数学(SHA-256ハッシュ)が使用されています。グローバーのアルゴリズムは、ハッシュ計算において量子コンピュータに「平方根(二次)」の加速をもたらします。これは、大規模な量子マイナーが小規模なマイナーに対して数学的な優位性を得る可能性があることを意味します。これはマイニングの分散化における懸念事項ではありますが、ビットコインのトランザクション承認能力を損なうものではありません。実際、このリスクは署名の解読よりもはるかに先にあります。なぜなら、secp256k1を攻撃するために必要なものよりもはるかに巨大な量子ハードウェアが必要であり、またグローバーのアルゴリズムは並列化が困難なため、理論上の優位性がそのまま実際のパフォーマンス向上に繋がりにくいからです。
ビットコインに対する量子の脅威は「誰がそのビットコインを所有しているか」に関するものであり、「ネットワークがどう動くか」ではありません。 ほとんどの報道はこの点を逆転させて捉えています。
脅威はどこまで迫っているのか?
量子ハードウェアは急速に進化していますが、その数字は何を測定するかによって異なります。2023年、IBMのCondorゲートモデル・チップは1,121量子ビットに達しました。2024年12月、GoogleのWillowチップはわずか105量子ビットでしたが、より重要なマイルストーンを達成しました。それは、1995年以来研究者が追い求めてきた「閾値以下」の量子エラー訂正の初実証です。より大規模な中性原子アレイも存在しており(カルテックのチームは6,100量子ビットのアレイを実証しました)、生の量子ビット数だけでは有用な計算能力を測ることはできません。
ビットコインの署名の数学を破壊するには、現在のハードウェアが提供できるものをはるかに超える能力が必要です。2025年5月から2026年3月の間に発表された3つの研究論文により、推定される必要要件は約20分の1に減少しました。
- 2022年の推定(サセックス大学、2022年): 256ビットの鍵を1時間で解読するのに約1,300万個の物理量子ビットが必要
- 更新された推定(Google Quantum AI、2026年3月): 50万個未満の物理量子ビット
- 最もアグレッシブな推定(未証明のアーキテクチャ): 1万個未満の物理量子ビット
現在のハードウェアは、最もアグレッシブな推定にさえ遠く及びません。また、生の量子ビット数はせいぜい大まかな指標に過ぎません。Googleの論文は、量子ビットを数えるだけでは、量子コンピュータの有用性を決定づける要素(エラー率、忠実度、結合性、および計算を完了するまでエラー訂正された計算を維持する能力)の大部分を見落とすと警告しています。ギャップは縮まりつつありますが、重要なすべての次元において一様に縮まっているわけではありません。
暗号を破壊できるほど強力な量子コンピュータの登場について、専門家のコンセンサスは10年から20年後としています。Global Risk Instituteの2025年の調査では、暗号的に関連性のある量子コンピュータが今後10年以内に登場する確率は28〜49%とされており、これは同調査の7年間の歴史の中で最高値です。BlockstreamのCEOであり、ビットコインが使用するプルーフ・オブ・ワーク・システムの考案者であるアダム・バックは、20年から40年と見積もっています。
いくつかの機関は、より短いスパンでの計画を立てています。NIST(米国国立標準技術研究所)は、今世紀末の近い時期から現行の署名規格(ECDSAおよびRSA)を段階的に廃止する目標を公開しており、Googleの量子チームも、機密システムを持つ組織に対し、同様のタイムラインで移行することを公的に推奨しています。脅威が10年後に訪れるにせよ40年後に訪れるにせよ、その準備期間はビットコイン自身のアップグレード・タイムラインと重なります。
ここで最も重要な点:ビットコインのアップグレードには数年を要します。 Taproot(タップルート)は最初のメーリングリストでの提案から有効化までに約3.5年かかりました。ポスト量子への移行はそれ以上に時間がかかる可能性があります。なぜなら、ソフトウェアのアップデートだけでなく、すべての保有者が自分のコインを新しいアドレスタイプに移動させる必要があるからです。準備を始めるべきは今であり、脅威が到来してからではありません。
時計はすでに進んでいる
量子攻撃者は、ターゲットを選ぶために量子ハードウェアの完成を待つ必要はありません。P2PKの古い出力、送金済みのすべてのアドレスの支出スクリプト、あるいは資金が投入されたTaproot(P2TR)の出力など、公開鍵がチェーンを監視している者の目に触れた瞬間、その鍵はチェーンに恒久的に記録され、ハードウェアが追いつき次第攻撃対象となります。
何も復号(デクリプト)する必要はありません。ビットコインはコンセンサス・データを暗号化していません。攻撃者は、すでに公開されている公開鍵からプライベートキーを直接導き出せるハードウェアを待っているだけなのです。
セキュリティ研究者は、伝統的な暗号技術における同様のパターンを「今収穫し、後で復号する(Harvest now, decrypt later)」と呼んでいます。米連邦準備制度理事会(FRB)は2025年の論文で、これを分散型台帳ネットワークにおける能動的なリスクであるとしています。ビットコインの場合、細部は異なりますが(暗号化はされておらず、復号もされません)、その形状は同じです。すなわち、「今日のターゲット・データを収集し、明日それを破壊する」ということです。
データ収集はすでに始まっている可能性があります。盗難は後からやってくるのです。
ビットコインのすべてがさらされているのか?
いいえ。ビットコインのすべての側面が等しく量子リスクに直面しているわけではありません。
リスクがあるもの: 攻撃者がすでに公開鍵を確認できる状態にあるすべてのビットコイン。これには以下が含まれます。
- 公開鍵を直接保存していた2009年〜2010年の初期のビットコインアドレス(P2PK形式)。これには、サトシ・ナカモトのものと広く考えられている約100万BTCが含まれます。
- 一度でも送金に使用されたことのあるアドレス。支出スクリプト内でチェーン上に公開鍵が露呈しています。
- P2TR(Taproot)アドレス。これらは資金が投入された瞬間に公開鍵の一種が露出します。これはTaproot設計当時、量子の脅威はまだ遠いものと考えられていたために受け入れられたトレードオフでした。BIP 360などの提案は、この露出を排除するために設計されています。
- メンプール(mempool)に滞留しているトランザクション。これらはまだチェーン上にありませんが、ネットワークを監視している誰もが公開鍵を確認できるため、マイナーがトランザクションを承認するまでの間にプライベートキーを導き出す窓口を量子攻撃者に与えてしまいます。
Chaincode Labsの研究者は2025年5月、流通しているビットコインの約30%、約600万BTCが、露出した公開鍵の背後にあると推定しました。
隠されているもの(今のところ): P2PKH、P2SH、P2WPKH、P2WSHといった古いアドレス形式は、公開鍵をさらなる数学の層(ハッシュ)の背後に隠しています。公開鍵は、送金する際に初めて公開されます。もしあなたがこれらのアドレスの一つでビットコインを受け取っても一度も送金していなければ、あなたの公開鍵は隠されたままです。ビットコインの約65%は、未公開の公開鍵の背後にあります。
しかし、その隠された状態は送金した瞬間に終わります。トランザクションが公開鍵をメンプールにブロードキャストするため、十分に強力な量子攻撃者は、トランザクションが承認されるまでの隙を狙ってプライベートキーの導出を試みる可能性があります。現在、P2WSHが最も強力な公開鍵の隠蔽を提供していますが、それも資金を移動させるまでの話です。
安全なもの: プルーフ・オブ・ワーク、アドレス導出、およびトランザクションを繋ぎ合わせる構造には、すべてSHA-256ハッシュが使用されています。量子アルゴリズムは、これらの操作を有意義に損なうことはできません。
サトシのコインはどうなるのか?
アダム・バックは、ポスト量子への移行期間を長く設けることで、ソフトフォークを通じて「移行されなかったECDSA/Schnorr署名を廃止(非推奨化)する」ことが、より妥当な解決策になると主張しています。その道を選べば、量子耐性のあるアドレスに移動するために何年も時間があったコインは安全に守られます。一方で、鍵の紛失やサトシのウォレットなどにより一度も移動されなかったコインは、攻撃者も含め誰一人として使用することができなくなります。バックは別途、脆弱なアドレスを予防的に凍結するという提案については、開発者の越権行為であるとして拒否しています。
解決策は「最も困難な部分」ではない
暗号学的な解決策は存在します。NIST(米国の標準化団体)は8年間にわたる評価を経て、2024年8月に最初の3つのポスト量子暗号規格を最終決定しました。数学的な準備は整っているのです。ビットコインネットワークをアップグレードさせることこそが、困難な部分です。
- 署名の巨大化、コストの増大: NISTの最小の標準化ポスト量子署名スキーム(ML-DSA, FIPS 204)は、署名と公開鍵を合わせて約3,700バイトを必要とします。ビットコインの現在のSchnorrキーパスによる支出は64バイトです。これは、1トランザクションあたりの暗号オーバーヘッドが約58倍に増加することを意味し、各ブロックに収まるトランザクションの数もそれに比例して減少します。署名が大きくなることは、トランザクションの肥大化と、全員にとっての手数料増加を意味します。
- ビットコインの変化は緩やかであり、それは意図された設計である: ビットコインの修正には、世界的で分散化されたネットワーク全体にわたる広範なコンセンサスが必要です。しかし、ビットコインは過去にもアップグレードを成功させてきました。SegWit (2017) はトランザクション展延性を修正しスケーラビリティを向上させました。Taproot (2021) はよりスマートなスクリプトとプライバシーの向上をもたらしました。どちらもネットワークが採用したソフトフォークでした。ポスト量子への移行も同様の筋書きをたどるでしょうが、これまでのどちらよりも大幅に複雑になります。
- 全保有者が行動しなければならない: ビットコインのコードをアップグレードしても、既存の資金が自動的に保護されるわけではありません。すべてのビットコイン保持者が、自分のコインを古いアドレスから新しい量子セーフなアドレスへ能動的に移動させる必要があります。ビットコインの現在のスループット(毎秒3〜10トランザクション)では、ネットワーク全体の完全な移行には数ヶ月から数年かかるでしょう。
BIP 360の支持者たちは、楽観的な仮定の下でも完全な移行には数年かかると示唆しています。その時計の針は、コミュニティが計画に合意して初めて動き出しますが、現在のところそのような計画はまだ存在しません。
すでに構築されているもの
Blockstreamのチームは、脅威が到来するのを待っているわけではありません。
- Liquidでのテスト環境: Liquid Networkは、Blockstreamによって構築されたビットコインのサイドチェーンです。これはビットコインのセキュリティモデル向けに設計されたスマートコントラクト言語「Simplicity」を実行します。ビットコイン・メインネットで新しい暗号技術をデプロイするには、ネットワーク全体のプロトコル変更が必要です。しかしSimplicityを備えたLiquidでは、ネットワーク全体のコンセンサス変更なしに、同じ機能をスマートコントラクトとして提供できます。つまり、ビットコインのソフトフォークに要する数年ではなく、数週間でポスト量子保護をリリースできるのです。
- ライブネットワーク上での初のポスト量子トランザクション: 2026年3月、Blockstream ResearchはLiquidメインネット上に「SHRINCS」(コンパクトなポスト量子署名スキーム)をデプロイしました。5つの実際のトランザクションがブロードキャストされ承認されました。これは、本番環境のビットコインサイドチェーン上で初となる、ポスト量子署名されたトランザクションとなりました。
SHRINCSは通常運用で324バイトの署名を生成します。(ステートフルモードで同じ鍵を再利用する場合、以降の署名ごとに約16バイト追加されます。)対照的に、最小のNIST規格は2,420バイト以上の署名を生成します。この7倍のサイズ削減は、実用的なブロックチェーン署名か、それとも1トランザクションのコストの大部分を占めてしまう署名か、という大きな違いを生みます。
SHRINCSは、ビットコインがプルーフ・オブ・ワーク、アドレス導出、マークルツリーですでに使用しているハッシュ関数であるSHA-256のセキュリティのみに依存しています。新しい暗号学的な仮定は必要なく、ビットコインがすでに信頼しているものをより多く活用するだけです。NISTの当初のポスト量子候補のいくつかは、標準化プロセスの過程で古典的なコンピュータによって破られました。この事実は、保守的な暗号学的基礎を選択することの価値を強調しています。
- SHRIMPSによるハードウェアウォレットの引き継ぎ: 2026年3月にBlockstreamの暗号学者ジョナス・ニックが提案した「SHRIMPS」は、ハードウェアウォレットのライフサイクル(現在のデバイスが故障した場合や、新しい世代へアップグレードしたい場合など)を考慮して設計されています。同じバックアップから読み込まれた最大1,024台のデバイスが独立して署名でき、その署名サイズは2.5 KBです。これはNISTのハッシュベース標準(SLH-DSA)よりも依然として3倍小型です。将来ハードウェアウォレットを交換することを想定するなら、SHRIMPSはその移行を念頭に置いて設計されたスキームです。
- ビットコイン・メインネットへの道: Blockstream Researchは、ハッシュベースのポスト量子署名検証をビットコインスクリプトに直接もたらす新しいオペコードのコンセプト「OP_SHRINCSVERIFY」の論理的根拠を検討しています。この作業はまだオープンな議論の段階であり、最終決定されたBIPではありません。もし将来のバージョンが提案され採用されれば、保持者はネットワーク全体の移行を待つことなく、一つのアドレスごとに量子耐性のある署名でビットコインを保護できるようになります。
このアプローチは、Taprootの量子的に脆弱なキー・スペンド・パスを削除するBIP 360 (Pay-to-Merkle-Root) を補完するものです。BIP 360がアドレス構造を提供し、OP_SHRINCSVERIFYが署名検証を提供します。これらは連携して機能する異なるアプローチです。
- 「実証の場」としてのパターン: Liquidは数十億ドルの総預かり資産(TVL)を持つライブな金融ネットワークとして運用されています。Liquid上で新しい暗号技術をデプロイすることは、ビットコインのコンセンサス・プロセスが必要とする「本番環境での証拠」を生み出すことになります。OP_CATは現在Liquidで稼働しており、ビットコインへの導入に向けた具体的な提案(BIP 347)もなされています。ポスト量子暗号も同じ道を歩んでいます。まずLiquid上で構築し、実際の経済条件下での動作を証明し、その本番データを将来のビットコイン提案に役立てるのです。
今日からできること
- モダンなウォレットを使用する: Blockstreamアプリは最新のアドレス形式を使用しています。ほとんどのアドレスタイプにおいて、送金するまで公開鍵は隠されたままです。
- アドレスの再利用を避ける: ほとんどの最新のウォレットは、トランザクションごとに新しいアドレスを自動的に生成します。もしお使いのウォレットがそうでない場合は、生成するものに切り替えてください。アドレスの再利用は、将来の量子の脅威に対する露出を確実に高める行為です。
- 古い露出したアドレスからコインを移動させる: 以前に使用(送金)したことのあるレガシーアドレスにビットコインが残っている場合(特に古いペーパーウォレットや初期の取引所からの出金など)、それらのコインを新しいアドレスに送ってください。これにより、あなたの公開鍵を「露出」カテゴリーから外すことができます。
- 情報を常にアップデートする: BIP 360やOP_SHRINCSVERIFYがビットコインの提案プロセスを通じてどのように進展するかを注視してください。
- 機関投資家向け: 長期的なカストディ(保管管理)計画に量子への備えを含めてください。移行期間が必要であることを考えると、2026年に行う決定が、数年先の準備状況を左右することになります。
ビットコインに対する量子の脅威は現実的かつ具体的ですが、見出しが示唆するよりはまだ先にあります。しかし、ビットコインのアップグレード期間も数年単位で測定されるものであり、暗号解読に必要なリソースの見積もりは急速に低下しています。準備のための猶予は存在しますが、それは確実に狭まっています。
