量子コンピューターは現時点で Bitcoin (BTC) や Ethereum (ETH) を解読できないが、ハードウェアの進歩が加速し、専門家の予測が2030年代に収束しつつあり、さらに ブロックチェーンのプロトコルアップグレードには歴史的に 5〜10年の調整期間が必要とされている――つまり、実際の脅威がまだ数年先であっても、備えるべき時期そのものはすでに到来している。
量子の危険が「いつ」来るのかをめぐる論争
数か月に一度、新しい量子チップに関するヘッドラインが暗号資産市場を震撼させる。
このパターンは、Google が2024年12月に Willow チップを発表して以来繰り返されている。このチップは105個の超伝導キュービットを搭載し、最速の古典的スーパーコンピューターなら10セプティリオン年かかる狭い計算問題を5分未満で解いてみせた。
続いて IBM は156キュービットの Heron プロセッサと、2029年までに約200論理キュービット、2033年までに2,000論理キュービットを目標とする詳細なロードマップを示した。Microsoft は2025年2月、トポロジカルキュービットを用いたプロセッサ Majorana 1 を発表し、CEO の Satya Nadella は「10年単位ではなく数年のスケールで、1チップあたり100万キュービットにスケールし得る」と述べた。
懐疑派も根強い。Blockstream のCEOで初期のビットコイン貢献者である Adam Back は、意味のある量子リスクは「おそらく20〜40年先」だと述べている。Nvidia のCEO Jensen Huang も、有用な量子コンピューターは「おそらくまだ20年先だ」と見積もる。
Michael Saylor は懸念を大げさだと一蹴し、ビットコインが狙われる前に、従来の銀行インフラや軍事システムがはるかに先に標的にされると主張する。CoinShares のアナリスト Christopher Bendiksen は2026年2月のレポートで、ビットコインを破るには現在利用可能なシステムの約10万倍の性能が必要だと主張した。
これに対し、Vitalik Buterin は2025年11月の Devconnect ブエノスアイレスで、暗号資産に使われている楕円曲線は「いずれ死ぬ」と宣言し、2030年までに暗号的に意味のある量子コンピューターが出現する確率を約20%とする Metaculus の予測データを指摘した。
世界有数の量子計算理論家とされるテキサス大学教授 Scott Aaronson は、2025年11月のブログで、ショアのアルゴリズムを実行できるフォールトトレラントな量子コンピューターが「次の米大統領選までに現実になり得る」と記した。
Nvidia の量子コンピューティングパートナーである Alice & Bob のCEO Théau Peronnin は、Web Summit Lisbon で、2030年以降のどこかの時点でビットコインを復号できるほど強力な量子マシンが登場し得ると警告した。
見解の「重心」はこれら両極の中間にある。Global Risk Institute が2024年12月に実施した32名の専門家調査では、今後10年以内に暗号的に意味のある量子コンピューターが出現する確率が5%超と考える回答者が過半数を占めた。
Chainalysis は2025年のレポートで、業界の専門家は概ね5〜15年のタイムラインだと要約している。
ビットコイン開発者の Jameson Lopp は、「慎重なプロトコル変更と前例のない規模の資金移行には5〜10年かかり得るのだから、最善を願いつつも最悪に備えるべきだ」という現実的な立場を示した。
関連記事: Strategy Buys $1.57B In Bitcoin - Its 12th Straight Weekly Purchase
脅威の背後にある数字を理解する
この分野の基礎研究は、サセックス大学の Mark Webber らによる2022年の研究にさかのぼる。論文は AVS Quantum Science に掲載された。
この研究では、ビットコインの256ビット ECDSA 署名方式を破るには、物理ゲート誤り率 10⁻³ のサーフェスコード誤り訂正を前提とすると、1時間以内の攻撃には3億1,700万物理キュービット、24時間以内の攻撃には1,300万物理キュービットが必要だと推定した。
2023年、PsiQuantum の Daniel Litinski による分析は、この必要キュービット数を10分攻撃で690万物理キュービットまで引き下げた。さらに最近の研究では、推定値は一段と圧縮されている。
論理キュービットの必要数は既存の式に基づきおおむね2,330個程度に収束しているが、新しい誤り訂正技術によっては、10万〜100万個程度の高品質な物理キュービットでも攻撃が現実的になり得る。
現在の量子マシンはそこには遠く及ばない。Google の Willow チップは105物理キュービットで動作し、Quantinuum は高忠実度の50論理キュービットを実証した。物理キュービット数のギャップはおおよそ1万〜30万倍に及ぶ。
しかし重要なのは静止画としての「今」ではなく、成長の軌跡だ。IonQ は、2028年までに1,600個、2030年までに8万個の誤り訂正済み論理キュービットを達成すると予測している。
Deloitte は、全ビットコインの約25%、およそ400万〜600万BTCが、将来の量子攻撃に対して脆弱となり得る公開鍵露出アドレスに保管されていると推定した。
これに対し CoinShares のより保守的な分析は、現実的な短期リスクにさらされるのは約1万200BTCに過ぎないと主張している。というのも、多くの脆弱なコインは失われたウォレットにあるか、暗号的に意味のある量子コンピューターが現れるより前に移動するであろう主体が保有しているためだ。
関連記事: Why SEC's Hester Peirce Wants Crypto Builders Inside
アドレスの再利用をやめる ―― これが最重要ステップ
ビットコインの量子脆弱性の核心は、公開鍵の露出にある。モダンなハッシュアドレス、すなわち「1」から始まる P2PKH や「bc1q」から始まる P2WPKH にビットコインを受け取った場合、オンチェーンに記録されるのは公開鍵のハッシュだけだ。
量子コンピューターであっても、SHA-256 や RIPEMD-160 のハッシュを効率的に逆算することはできない。Grover のアルゴリズムが与えるのは二乗根的な高速化に過ぎず、256ビットの安全性を実効128ビットまで落とすだけで、依然として安全圏にある。
しかしそのアドレスからコインを支払った瞬間、完全な公開鍵がトランザクションのウィットネスデータに現れ、ブロックチェーン上に恒久的に記録される。ショアのアルゴリズムは、この露出した公開鍵から秘密鍵を導き出せてしまう。これが、アドレスの再利用が量子対策にとって最も有害な慣行とされる理由だ。
Project Eleven が2025年7月のレポートで説明したように、トランザクションが承認されると、その鍵に紐づくアウトプットは完全に消費されたことになる――したがって、アドレスを再利用しなければ、その公開鍵は未使用コインを守る役割をすでに終えている。
しかしアドレスを再利用して同じ公開鍵のもとに別のUTXOが残っていると、その残高は露出したままだ。対策は単純だ。残高のある全アドレスをブロックエクスプローラーで確認し、送金履歴があるアドレスは公開鍵が露出しているとみなして、その資金を一度も支出に使っていない新しい P2WPKH アドレスへ移す。
関連記事: Trumps' World Liberty Demands $5.3M For VIP Access
ビットコインのUTXOモデルがもたらす自然な防御層
ビットコインのUTXO(Unspent Transaction Output)モデルは、多くの保有者が十分に理解していない「内蔵の量子防御レイヤー」を提供している。
各UTXOは秘密鍵の所有証明を要求するスクリプトによってロックされている。ハッシュ化アドレス形式では、ロックスクリプトに含まれるのは公開鍵のハッシュだけであり、実際の公開鍵は、所有者が支出トランザクションを作成するまで隠れたままだ。
これは、送金履歴のないアドレス上の未使用UTXOについては、長期的な量子攻撃に対して事実上量子安全であることを意味する。MARA Holdings は、P2WPKH や P2WSH などのネイティブSegWit形式が、手数料の低さと公開鍵ハッシュ化による保護を兼ね備えていると推奨している。 コミットメントとなり、長期保管向けとしては保守的な選択肢になります。
現実的なウォレット衛生ルーチンとしては、受け取るトランザクションごとに新しい受取アドレスを生成し、必要な場合を除いてUTXOを決して統合しない、という運用が望ましいでしょう。
重要なニュアンスとして、Taprootアドレス ― 「bc1p」で始まるP2TR ― が挙げられます。これらは公開鍵の一種を直接アウトプットにエンコードしており、所有者が一度も支出していなくても、資金が到着した瞬間から量子攻撃に脆弱になります。大口かつ長期のコールドストレージ用途では、ポスト量子アップグレードが導入されるまでは、P2WPKHの方がより安全な選択肢のままです。
Also Read: The $14M Polymarket Bet That Got A Journalist Threatened At Gunpoint
Mempoolウィンドウ:それでもコイン移動が安全でいられる理由
自然な懸念として、「コインを動かすと、そのトランザクションの間だけ公開鍵が露出するが、それ自体が量子リスクを生まないのか?」という点が挙がります。答えはイエスですが、そのウィンドウは十分に狭く、管理可能な範囲に収まっています。トランザクションがmempoolに入ってからブロックにマイニングされるまで ― 通常10〜60分 ― の間に、量子コンピュータを持つ攻撃者は理論上、秘密鍵を導出し、競合トランザクションをブロードキャストする機会を得ることになります。
しかし、将来のECDSAに対する量子攻撃について最も楽観的な見積もりでさえ、単一鍵を破るのに最低8時間、実際にはそれ以上かかると示唆されています。mempoolでの露出時間と攻撃に必要な時間のこのギャップが、大きな安全マージンを提供します。
公開鍵が恒久的に露出した再利用アドレスにコインを何年も置き続けるリスクは、一度きりの移行トランザクションに伴う一瞬のリスクをはるかに上回ります。
非常に大きな額を管理する保有者向けには、追加の緩和技術も存在します。トランザクションをパブリックmempoolを完全にバイパスしてマイニングプールに直接送信することで、この狭いウィンドウさえも排除できます。すでに一部のプライバシー志向ウォレットはこの機能をサポートしています。
Also Read: Crypto ETF Inflows Hit $1B Again - But Not Everyone Is Bullish
ビットコインとイーサリアムにはどちらもポスト量子アップグレードの道筋がある
ビットコインにおける主要な提案はBIP-360で、2024年6月にMARAのHunter Beastが提案しました。これは「Pay to Quantum Resistant Hash(P2QRH)」という新しいアウトプットタイプを生み出すもので、SegWitバージョン3を使用し、「bc1r」で始まるアドレスを採用します。
この設計は意図的にハイブリッドであり、各アウトプットは古典的なSchnorr鍵に加えて、FN-DSA(FALCON)、ML-DSA(Dilithium)、SLH-DSA(SPHINCS+)といったNIST標準アルゴリズムによる一つ以上のポスト量子署名を含めることができます。BIP-360トランザクションの一つは、2025年9月10日にBitcoinのsignetテストネット上で成功裡に実行されました。
最大の技術的課題は署名サイズです。単一のML-DSA署名は2〜3キロバイト、SPHINCS+は最大49キロバイトに達し得るのに対し、Schnorrは64バイトにすぎません。
Chaincode Labsが2025年5月に出したレポートでは、ビットコイン全体のポスト量子移行には約7年を要し、約1億8,670万のUTXOが移行対象になると試算しています。ブロックスペースの現実的な割り当てを25%とすると、移行だけで2年以上かかり得るとされています。
イーサリアムはより速く動いています。2026年2月26日、ブテリンは、コンセンサス、データ可用性、アカウント署名、アプリケーション層のゼロ知識証明という4つの脆弱領域を特定した包括的な量子耐性ロードマップを公表しました。
Ethereum Foundationは2026年1月にポスト量子セキュリティ専任チームを立ち上げ、200万ドルの研究賞により支援されています。ブテリンは、ウォレットが任意の署名アルゴリズムを使用できるようにするEIP-8141が1年以内にリリースされると明言しました。
イーサリアムの強みは、そのアカウント抽象化フレームワーク ― 4,000万以上のスマートアカウントがデプロイされているERC-4337 ― にあります。これにより、プロトコルレベルの変更を必要とせずに、ウォレット側で暗号技術をアップグレードできます。
Also Read: Abra Crypto Platform Eyes Nasdaq Listing In $750M Deal
NISTのポスト量子標準は、すでに採用可能な状態にある
米国標準技術研究所(NIST)は、8年におよぶ選定プロセスを経て、2024年8月13日に最初の3つのポスト量子暗号標準を確定しました。
FIPS 203(旧称CRYSTALS-Kyber)は、共有秘密を確立するための格子ベースの鍵カプセル化方式です。FIPS 204(旧称CRYSTALS-Dilithium)は格子ベースの電子署名標準であり、ブロックチェーントランザクション署名に最も直接的に適用できます。
FIPS 205(旧称SPHINCS+)はハッシュベースの署名方式で、その安全性はハッシュ関数の衝突耐性のみに依存しており、最も保守的な選択肢です。
FALCONに基づくFN-DSAと呼ばれる第4のアルゴリズムは、FIPS 206としてドラフト段階にあります。これは約690バイトという最小クラスのポスト量子署名を生成し、帯域が制約された環境におけるブロックチェーン用途に最も適した候補となっています。
2025年3月、NISTは、格子ベースではなく符号ベースの数学を用いるバックアップ鍵カプセル化方式としてHQCを選定し、格子仮定が想定より弱かった場合に備えたアルゴリズム多様性を確保しました。
NISTの移行タイムラインでは、量子に脆弱なアルゴリズムを2030年までに非推奨とし、2035年までに完全廃止することが求められています。この連邦レベルの義務は金融業界へと波及します。ビットコインのBIP-360およびイーサリアムのポスト量子実装はどちらも、暗号基盤としてNIST標準を明示的に参照しています。
Also Read: U.S. Investors Fuel 96% Of Crypto Fund Inflows, CoinShares Reports
ハードウェアウォレットは準備を進めているが、「量子対応」という言葉には文脈が必要
Trezorは2025年11月にSafe 7を出荷し、これを世界初の量子対応ハードウェアウォレットとして売り出しました。このデバイスは、NIST FIPS 205標準であるSLH-DSA-128を用いて、起動のたびにブートローダーとファームウェアを検証し、監査可能なTROPIC01セキュアチップを搭載しています。しかし、重要な但し書きがあります。「量子対応」というラベルは、チェーン上のトランザクション保護ではなく、ウォレット自身のソフトウェアの完全性を守るという、デバイスレベルのセキュリティを指しているに過ぎません。
TrezorのCOOであるDanny Sandersは、プロトコル側でビットコインやイーサリアムのアップグレードが行われた後であれば、このデバイスは技術的にはポスト量子アップデートを受け取る能力があると述べています。
Ledgerは最新ハードウェアにおいて量子対応機能を明示的にマーケティングしてはいませんが、そのデバイスはQRLトークンをサポートしており、同社もポスト量子ファームウェア機能で追随すると見られています。
ハードウェアウォレットユーザーにとっての実務的なポイントは単純です。プロトコルレベルでポスト量子署名スキームが利用可能になったときに、新しいデバイスを買わずともウォレットがそれらを採用できるよう、ファームウェアを常に最新に保つことです。
とはいえ、ファームウェアアップデートだけでは完全な解決策にはなりません。本当のボトルネックはブロックチェーンのプロトコル層にあります。ビットコインがBIP-360または同等の提案をアクティベートし、イーサリアムがEIP-8141を出荷するまでは、どのハードウェアウォレットもネットワークに受け入れられるポスト量子トランザクション署名を生成することはできません。ウォレットの量子耐性は、それがトランザクトするチェーンの量子耐性と同程度に過ぎないのです。
Also Read: BlackRock Extends Five-Day BTC Buying Run To $600M
量子対応ブロックチェーンプロジェクトへの分散投資
すでにポスト量子暗号を実装しているブロックチェーンプロジェクトに少額を配分することは、一種のヘッジとなり得ます。ビットコインやイーサリアムの中核保有分を置き換えるものではなく、オプショナリティの確保と捉えるのが適切です。
Quantum Resistant Ledger (QRL) は、2018年のジェネシスブロック以来、IETFで規定されたXMSSハッシュベース署名を用いて量子耐性を備えている、唯一の主要チェーンであり続けています。
2026年を目標とするQRL 2.0アップグレードでは、EVM互換性とSPHINCS+の追加が予定されています。Algorand (ALGO) は、2025年11月3日にFALCON-1024署名を用いて、稼働中のメインネット上で世界初とするポスト量子トランザクションを達成したと述べています。Hedera (HBAR)partnered with SEALSQ to test quantum-resistant hardware signing using Dilithium.
Solana (SOL) offers an optional Winternitz One-Time Signature vault released in Jan. 2025, though users must actively opt in. David Chaum's xx Network has incorporated quantum-resistant cryptography in its privacy protocol since its 2021 launch.
これらのプロジェクトはいずれも、ビットコインやイーサリアムに匹敵する流動性やネットワーク効果を持っておらず、そのトークンは典型的な小型銘柄リスクを伴う。しかし、それらの存在は、ポスト量子時代のブロックチェーンセキュリティのエンジニアリングが理論上の話ではなく、すでに実装され稼働していることを示している。
Also Read: Ethereum Breaks $2,200 As Key Indicators Turn Green
マルチシグとコールドストレージの重要なニュアンス
マルチシグウォレットは、add 比例した防御レイヤーを追加する。2-of-3 のマルチシグ構成では、攻撃者は 1 つではなく少なくとも 2 つの秘密鍵を破る必要がある。Lopp は、Bitfinex や Kraken といった主要取引所のウォレットがマルチシグを使用しており、量子攻撃者はそれぞれ 2 つまたは 3 つの鍵を逆算しなければならないと指摘した。
これは恒久的な解決策ではない。量子コンピュータが 1 つの ECDSA 鍵を破れるのであれば、十分な時間さえあれば複数の鍵も破れるからだ。しかし、それでも攻撃のコストと所要時間を大幅に引き上げる。
主要な推奨事項は、P2MS のように出力スクリプト内で全ての公開鍵を即座に晒してしまうのではなく、支出時まで鍵をハッシュの背後に隠す P2WSH でラップされたマルチシグを使用することだ。
コールドストレージについての重大な誤解は、オフラインウォレットが本質的に量子安全だというものだ。そうではない。量子脅威はインターネット接続性とは無関係であり、ブロックチェーン上における公開鍵の露出に関わる問題である。ベストプラクティスとしては、P2WPKH アドレスを使用すること、すでに送金に使用したアドレスで追加の入金を受けないこと、スケジュールに基づいてコールドストレージの UTXO をローテーションすること、大口保有には Taproot を避けること、そしてポスト量子アップグレードの告知を監視し、迅速に資産を移行することなどが挙げられる。
Also Read: What Could $73K Breakout Mean For BTC Bulls?
機関投資家はすでにポスト量子時代へ備え始めている
Coinbase は 2026 年 1 月に、アーロンソン、スタンフォード大学の Dan Boneh、イーサリアム財団の Justin Drake をメンバーとする、量子コンピューティングとブロックチェーンに関する formed 独立諮問委員会を設置した。
CEO の Brian Armstrong は、量子コンピューティングは暗号資産業界にとって十分に called 解決可能な問題だと述べている。
JPMorgan は伝統的金融機関の中ではおそらく最も先行しており、Kinexys ブロックチェーンプラットフォームを保護するために、Toshiba と Ciena とともに量子鍵配送ネットワークを built 構築している。
一方で弱気寄りの機関ポジショニングとしては、Jefferies のストラテジスト Christopher Wood が 2026 年 1 月に、価値保存手段としてのビットコインの投資 thesis に対して量子リスクが実存的であるとして、自身のモデルポートフォリオからビットコインを removed 除外した。量子不安を理由にした、ウォール街の大きな動きとしては初期の例の一つである。
ARK Invest と Unchained は 2026 年 3 月に共同レポートを published 公表し、このリスクを漸進的かつ管理可能なものと位置付けた。そこでは、量子技術における大きなブレイクスルーが起きた場合、まずはインターネット全般のセキュリティを揺るがし、それがビットコインに及ぶ前に各国政府やテック企業による協調対応が促されるだろうと指摘している。
個人ホルダーにとって合理的なフレームワークは、量子リスクを機関投資家がそれを扱うのと同様に捉えることだ――すなわち、長期的でありつつもゼロではない確率の事象として、準備は必要だがパニックは不要という位置付けである。
2030 年までに暗号的に意味のある量子コンピュータが出現する確率は、専門家調査によれば sits およそ 14〜20% とされており、2035 年までには 33〜50% に上昇する。
Also Read: XRP Transactions Triple In One Year To 3M Amid Record Activity
結論
暗号資産に対する量子脅威は、現実的でゼロではなく、増大しつつある――しかし、差し迫ったものではない。現在およそ 1,100 物理キュービットにとどまる量子ハードウェアと、ビットコインの ECDSA を破るのに必要とされる数百万物理キュービットとの間には、依然として大きなギャップがある。それでも、今まさに行動を要請する 3 つの要因が収束しつつある。
アルゴリズムの進歩が、予想より速いペースで必要キュービット数を圧縮している。IBM、IonQ、Microsoft のハードウェアロードマップは、今後 5〜10 年の間に桁違いの能力向上を示唆している。そして、ブロックチェーンプロトコルのアップグレードには、歴史的に 5〜10 年の社会的調整期間を要してきた。
このリサーチから得られる最も重要なポイントは、実務的な防御策の大半はコストゼロであり、今日すぐにでも実行できるということだ。アドレスの再利用をやめること。公開鍵が晒されたアドレスから資金を移し、新しい P2WPKH ウォレットに退避させること。多額の保有には、P2WSH でラップされたマルチシグを利用すること。
長期コールドストレージには Taproot を避けること。ハードウェアウォレットのファームウェアを常に最新に保ち、ポスト量子デバイスセキュリティを備えた Trezor Safe 7 の利用も検討すること。アルゴランド、QRL、ヘデラといった真に量子耐性を備えたプロジェクトに、ポートフォリオの一部をヘッジ目的で配分すること――ただし、全面的な入れ替えではなく、オプショナリティとしての位置付けに留めるべきだ。
IBM の論理キュービットに関するマイルストーンを監視し、プロトコルレベルの移行を実行に移すべき合図として、BIP-360 や EIP-8141 の有効化を見守ること。暗号資産業界は、これまであらゆる構造的課題を適応によって乗り越えてきており、量子対応へのアップグレードパスもすでに構築されつつある。Mosca の不等式――移行に必要な時間が脅威の到来までの時間を上回れば負けが確定する、という原則――こそが最重要のコンセプトである。締切が明確になってからではなく、その前に移行を始める必要がある。
Read Next: Boris Johnson Calls Bitcoin A 'Giant Ponzi Scheme' - Saylor, Ardoino And Back Hit Back