Googleの量子AIチームの最新論文によると、50万量子ビットのフォールトトレラント量子コンピュータは、理論的には9分以内にBitcoinの秘密鍵を解読し、約690万枚の公開鍵が公開されているBitcoinを脅かす可能性があるという。既存の技術では、この目標まであと446倍の差があり、2029年前後に実現する見込みだが、もはや遠いSFではない。Bitcoinコミュニティは、BIP-360、SPHINCS+などの耐量子アップグレード案を進めている。一般ユーザーは今のところパニックになる必要はないが、アドレス形式の確認（bc1pで始まるTaprootアドレスの長期使用を避ける）、”1アドレス1トランザクション “の習慣を身につけ、ウォレットメーカーの今後のアップデートに注目する必要がある。

2026年3月31日、普通の月曜日、暗号資産界隈は突然騒然となった。Googleの量子AIチームが、量子コンピュータがBitcoinの秘密鍵を解読するには9分しかかからないという論文を発表したのだ。Bitcoinの1ブロックの確認時間は、平均10分である。誇張だと言う人もいれば、現実とはかけ離れていると言う人もいるが、今回警告を発したのはGoogleだ。量子コンピュータは本当にBitcoinを解読できるのか？脅威は現実なのか、誇張なのか？一般の人は何をする必要があるのか？この記事では、この件についてわかりやすく解説する。

一、Googleの論文は何を言っているのか
これまで業界の共通認識では、Bitcoinの暗号化アルゴリズムを解読するには、量子コンピュータは数百万量子ビット必要だとされていた。この数字は途方もなく大きいため、誰もが少なくともあと数十年はかかると考えていた。しかし、Googleの論文では、この数字を50万以下にまで抑えた。一気に20倍も縮小したのだ。

論文には具体的な攻撃シナリオが記載されている。Bitcoinのトランザクションを発行すると、公開鍵が一時的にネットワークに公開され、ブロックにパッケージされるのを待つ。このウィンドウは平均10分だ。Googleの試算によると、十分に強力な量子コンピュータがあれば、約9分で公開鍵から秘密鍵を逆算し、より高いマイナー手数料のトランザクションを偽造し、元のトランザクションがチェーンに書き込まれる前に資金を奪い取ることができ、成功率は約41.00%だという。

もちろん、論文で記述されているのは、完全なエラー訂正機能を備えたフォールトトレラント量子コンピュータである。Google自身のWillowプロセッサは105個の物理量子ビットしか持っていないが、論文で要求されているのは50万個だ。両者の間には446倍の差があるため、BTCを解読できる量子コンピュータはまだ存在しない。Google自身は、2029年に耐量子暗号への移行を完了することを目標としており、この時期は、ある意味で、彼らが脅威が現実になる時間枠をどの程度考えているかを示している。しかし、いつかこのマシンが完成すれば、Bitcoinを解読するコストはあなたが思っているよりもはるかに低くなるだろう。

二、量子コンピュータと普通のコンピュータ、一体何が違うのか
しかし、このことが何を意味するのかを議論する前に、まず量子コンピュータとは何かを理解する必要がある。普通のコンピュータはビットを使って情報を処理する。各ビットは0または1の2つの状態しか持たない。どのような計算も、これらの0と1を操作することによって行われる。256ビットの秘密鍵は、2の256乗通りの組み合わせがあることを意味する。古典コンピュータで総当たり攻撃をしても、世界のすべての計算能力を集めても、宇宙の年齢よりも長い時間が必要になる。これが、Bitcoinが過去15年間安全だった理由だ。

量子コンピュータが使用するのは量子ビット（qubit）だ。量子ビットの不思議な点は、重ね合わせ状態にあることだ。0でもあり1でもあることができる。8つの量子ビットは、1つの状態しか表現できないのではなく、同時に256個の状態を表現できる。量子ビットが多ければ多いほど、並列処理能力は指数関数的に増加する。しかし、並列処理能力だけではBTCに対する脅威にはならない。量子コンピュータが暗号学に脅威を与える真の理由は、1994年にマサチューセッツ工科大学の数学者Peter Shorが発明した「Shorアルゴリズム」だ。このアルゴリズムは、大きな整数の分解と楕円曲線離散対数問題を解くことに特化している。そして、この2つの難題こそが、BitcoinとEthereumの秘密鍵の安全性の根幹なのだ。

例を挙げよう。従来のコンピュータは、迷路の中で出口を探すようなもので、一つずつ道を試していくしかない。量子コンピュータにShorアルゴリズムを組み合わせると、誰かが迷路の見取り図を渡してくれ、一目見ただけで出口がどこにあるかわかるようになる。Bitcoinで使用されている署名アルゴリズムはECDSA（楕円曲線デジタル署名アルゴリズム）と呼ばれ、secp256k1曲線上で動作する。このシステムは古典コンピュータにとっては難攻不落だが、Shorアルゴリズムは楕円曲線の数学的構造を専門的に攻撃することができる。

三、量子コンピュータは一体どのようにしてあなたのBitcoinを盗むのか
量子コンピュータの原理を理解した上で、具体的にどのようにBitcoinを脅かすのかを見てみよう。ウォレットを作成する際、システムは秘密鍵、つまりランダムな256桁の数字を生成する。秘密鍵から公開鍵が導き出され、さらに公開鍵からウォレットアドレスが導き出される。このチェーンは順方向にしか進むことができず、秘密鍵を知っていれば公開鍵を計算できるが、その逆はできない。Bitcoinを送信する際、秘密鍵はデジタル署名を生成するためにのみ使用され、トランザクションとともにブロードキャストされ、このお金はあなたが送ったものであることをネットワーク全体に伝える。ネットワークは署名の正当性を検証し、トランザクションが確認され、完了する。

Shorアルゴリズムは、理論的には楕円曲線暗号、つまりBitcoinの秘密鍵の安全性の根幹を解読することができる。しかし、誰もこのことを真剣に受け止めていない。なぜなら、このアルゴリズムを実行するために必要な計算能力は、古典コンピュータでは到底達成できないからだ。問題は、量子コンピュータが近年本当に進歩していることだ。いったん十分に強力になれば、量子コンピュータはあなたの公開鍵を入手するだけで、秘密鍵を逆算し、あなたの署名を偽造し、資金を奪い取ることができる。

ここで重要な問題が出てくる。あなたの公開鍵はすでに公開されているのか？公開鍵の公開には2つのケースがある。1つは長期的な公開で、公開鍵がすでに永久にチェーンに書き込まれており、量子マシンはいつでも読み取ることができる。このケースに該当するアドレスは2種類ある。中本哲史と初期のマイナーが使用していた元の形式のアドレスで、当時は公開鍵が直接平文で保存されていた。bc1pで始まるアドレスで、Taprootは本来プライバシーと効率を改善するためのものだったが、設計上公開鍵がアドレス自体に埋め込まれてしまったため、量子的な脅威の前では逆効果になってしまった。

2つ目は短期的な公開で、トランザクションを発行する瞬間、従来の形式のアドレスは、未使用の状態では、公開鍵がハッシュ値の背後に隠されており、外部からは見えない。しかし、トランザクションを発行するたびに、公開鍵はトランザクションとともにメモリプールに入り、ブロックにパッケージされる前にネットワーク全体に公開される。このウィンドウは平均10分だ。つまり、普段どれだけ慎重に操作していても、トランザクションを発行したことがある限り、攻撃される可能性がある。現在、約690.00万枚のBitcoinの公開鍵がすでに永久にチェーン上に公開されている。これらのコインが個人のウォレットにあるか、取引所のホットウォレットにあるかに関わらず、アドレスが上記のリスクの高いタイプに該当する場合、またはそのアドレスが過去にトランザクションを発行したことがある場合、公開鍵はすでに漏洩している。

四、Bitcoinコミュニティは何をしているのか
Googleの論文が発表された当日、CZ @cz_binance はTwitterで、パニックになる必要はない、暗号通貨を耐量子アルゴリズムにアップグレードすれば問題は解決する、脅威は現実だが、業界には対応する能力があると答えた。V神 @VitalikButerin の態度はもっと慎重で、彼は以前からこの問題について警告しており、2030年までに真に攻撃能力を備えた量子コンピュータが出現する確率は約20.00%だと見積もっていた。2人とも脅威は現実だと考えているが、緊急性の判断が異なるだけだ。

Bitcoinの開発者コミュニティは、この論文以前からこの問題を無視していなかった。現在、4つの方向性が真剣に議論されている。

1️⃣BIP-360、別名Pay-to-Merkle-Root。現在のBitcoinアドレスは公開鍵を永久にチェーンに書き込むが、BIP-360のアイデアは、公開鍵をトランザクション構造から完全に削除し、Merkleルートで置き換えることだ。量子マシンには分析できる公開鍵がないため、攻撃は不可能になる。このソリューションはすでにBTQ Technologiesのテストネットで稼働しており、現在50人以上のマイナーが参加し、20.00万以上のブロックを処理している。ただし、明確にしておく必要があるのは、BIP-360は新しく生成されたコインのみを保護し、170万枚の公開鍵がすでに公開されている古いアドレスは依然として問題であるということだ。

2️⃣SPHINCS+：正式名称はSLH-DSAで、ハッシュ関数に基づく耐量子署名スキームだ。そのロジックは非常に直接的だ。Shorアルゴリズムが楕円曲線を専門にしているのなら、楕円曲線を交換し、ハッシュ関数を使って署名すればいい。このソリューションはすでに2024年8月にNIST標準化を通過している。問題は署名のサイズだ。現在のBitcoinのECDSA署名はわずか64バイトだが、SPHINCS+の署名は8KBを超え、サイズが100倍以上に膨張し、トランザクションコストとブロックスペースの需要を大幅に押し上げる。そのため、開発者はSHRIMPSやSHRINCSなどの最適化ソリューションを提案し、安全性を犠牲にすることなく署名サイズを圧縮することを目指している。

3️⃣Commit/revealスキーム：ライトニングネットワークの共同創設者であるTadge Dryjaによって提案されたこのスキームは、メモリプールにおける短期的な公開リスクを対象としている。トランザクションを2つの段階に分割する。第1段階では、トランザクション情報を含まないハッシュ指紋を送信し、チェーン上にタイムスタンプを残すだけだ。第2段階で実際のトランザクションをブロードキャストし、この時点で公開鍵が公開される。量子攻撃者が第2段階で公開鍵を傍受して秘密鍵を推測したとしても、偽造されたトランザクションは、対応する第1段階の事前送信記録がないため、ネットワークによって拒否される。代償として、トランザクションごとに手順が増え、コストがわずかに上昇する。これは、より完全な耐量子システムが確立される前に使用される過渡的なソリューションと見なされている。

4️⃣Hourglass V2：開発者のHunter Beastによって提案され、170万枚の公開鍵がすでに永久に公開されている古いアドレスを専門に対象としている。このソリューションのロジックは非常に悲観的だが現実的だ。これらのアドレスの公開鍵を隠すことができず、量子マシンが十分に強力になれば、これらのコインは遅かれ早かれ盗まれるだろう。Hourglass V2は古いアドレスが盗まれるのを阻止するつもりはなく、各ブロックがこれらのアドレスから転送できるBitcoinを1枚に制限する。これは銀行の取り付け騒ぎの際に毎日の引き出し額を制限するようなものだ。この提案は非常に物議を醸している。なぜなら、Bitcoinコミュニティには、誰もあなたのBitcoinに干渉する権利はないという原則があるからだ。たとえこのような制限付きの制限であっても、多くの人が越権行為だと考えている。

Bitcoinがアップグレードのプレッシャーに直面したのはこれが初めてではない。2017年のスケーリング論争は何年も続き、最終的にはBitcoin Cashが分裂した。2021年のTaprootアップグレードは、提案からアクティブ化まで4年近くかかった。毎回、コミュニティは長い議論、綱引き、妥協を経験し、ようやく何かを前進させることができる。量子的な脅威への対応も、おそらく同じ道をたどるだろう。

五、一般ユーザーは今何をする必要があるのか
ここまで多くのことを話してきたが、一般ユーザーは何ができるのか？答えはあなたが思っているほど複雑ではない。量子コンピュータは今日あなたのBitcoinを解読することはできないが、今から注意できることがいくつかある。

1️⃣アドレス形式を確認する：ウォレットを開き、受信アドレスが何で始まっているかを確認する。bc1pで始まるものはTaprootアドレスで、公開鍵がデフォルトでアドレス自体に埋め込まれており、長期的に公開されるリスクの高い形式だ。資産がこれらのアドレスに置かれていて、一度も動かしたことがない場合、現在のリスクはまだ理論的なレベルだが、今後のBIP-360の進捗状況に注目する価値がある。bc1qで始まるSegWitアドレス、および1で始まる従来のアドレスは、未使用の状態では公開鍵がハッシュによって保護されており、比較的安全だ。ただし、トランザクションを発行したことがある限り、公開鍵はすでに永久にチェーン上に公開されている。

2️⃣アドレスの衛生習慣を身につける：できるだけ同じアドレスで繰り返し入金と送金をしないようにする。トランザクションを送信するたびに公開鍵が公開され、使用済みのアドレスはハッシュ保護を受けなくなる。ほとんどの最新のウォレットは、デフォルトで入金するたびに新しいアドレスを生成する。この機能をオンにしておくとよい。

3️⃣ウォレットソフトウェアのアップデートに注目する：LedgerやTrezorのようなハードウェアウォレットメーカーは、耐量子アップグレードの重要な一部となるだろう。BIP-360または耐量子署名スキームがメインネットでアクティブ化されると、ウォレットは新しいアドレス形式と署名アルゴリズムを同期してサポートする必要がある。このプロセスでユーザー側が行うことは、ファームウェアのアップデートだけかもしれないが、資産を古いアドレスから新しい形式のアドレスに移行する必要があるかもしれない。今できることは、使用しているウォレットが継続的にアップデートできるメーカーのものであることを確認し、注目し続けることだ。

4️⃣取引所に置かれている資産：取引所はユーザーの操作を必要とせず、技術的なアップグレードは彼らのチームによってプッシュされる。Coinbaseはすでに量子アドバイザリー委員会を設立しており、主要な取引所は規制のプレッシャーの下で追随するだろう。信頼できる大手取引所に置かれている資産の場合、量子アップグレードはあなたにとって透過的だ。

六、最後に
「量子コンピュータがBitcoinを解読する」という話は何年も前から流れており、登場するたびに嘲笑され、何も起こらなかった。いつの間にか、誰もがこれはオオカミ少年の話だと考えるようになった。今回警告を発したのはGoogleだ。Bitcoinの開発者はすでに真剣に対応策を準備しており、Ethereum側のロードマップも進んでいる。しかし、この件はこれまで理論的なレベルにとどまっており、量子コンピュータが本当にBitcoinの暗号化アルゴリズムを攻略できるかどうかは、現時点では誰にも確かな答えを出すことはできない。

Googleは2029年と言い、数十年かかると言う人もいれば、永遠にないと言う人もいる。この問題の答えは、時間だけが知っている。量子コンピューティングの進歩も決して一定ではなく、前回の大きなブレークスルーは誰も予想していなかったタイミングで起こり、次も同じかもしれない。

[Biteye]