量子コンピューティングの進歩によって暗号研究者がデジタルセキュリティの数学的基盤をrETHINKせざるを得なくなる中で、暗号資産業界は特有かつ喫緊の問いに直面している。すなわち、楕円曲線暗号の背後にロックされた数十億ドル規模の資産を、ネットワークを破壊することなく量子耐性のある署名方式へどのように移行させるか、という問題である。
暗号資産に対する量子脅威:現実だが差し迫ってはいない
ビットコイン (BTC) と イーサリアム (ETH) はともに、secp256k1 楕円曲線の上に構築された ECDSA と呼ばれる署名アルゴリズムに依存しており、資金の所有権を証明している。すべてのトランザクションの安全性は、「古典計算機にとって公開鍵から対応する秘密鍵を導出するのは計算量的に不可能である」という単一の数学的仮定の上に成り立っている。
数学者ピーター・ショアが 1994 年に公表したショアのアルゴリズムは、この仮定を粉砕した。
十分に強力な量子コンピュータ上で動作させると、楕円曲線離散対数問題を多項式時間で解ける問題に還元してしまう──つまり、オンチェーンで公開鍵が露出しているウォレットであれば、その秘密鍵を十分な速度で抽出し、資金をすべて奪える可能性がある。
この攻撃を実行できるハードウェアは、まだ存在しない。現在の推定では、secp256k1 を破るには約 2,330〜2,500 の論理量子ビットが必要であり、1 日で攻撃を完了させるには物理量子ビットにして約 1,300 万個に相当するとされる。今日最先端の量子プロセッサであっても、搭載する量子ビット数は 100 個強に過ぎない。
もう一つよく挙げられる量子脅威であるグローバーのアルゴリズムは、署名ではなくハッシュ関数を標的にする。これは 2 乗根程度の高速化しかもたらさず、SHA-256 の安全性を 256 ビットから 128 ビットに削減するにとどまる──それでも 2 の 128 乗回の計算が必要であり、現実的には依然として「破れない」領域にある。
ビットコインのプルーフ・オブ・ワークの仕組みは量子コンピューティングの脅威にはさらされていない。危険にさらされているのは署名方式の方だ。
タイムラインを巡る議論は、楽観論者と悲観論者の間で大きく割れている。
ジェンスン・フアンNvidia CEO は、有用な量子コンピュータが登場するのは「おそらく 20 年後」と見積もっている。
Blockstream の CEO でありサイファーパンクでもある アダム・バックは、近い将来の警告を退け、2028 年頃を想定する見方は非現実的だと主張している。
一方で、Quantum Algorithms Institute の CTO である ショヒニ・ゴースは、コミュニティは十分に危機感を持っていないと警告し、量子コンピューティングが提案された瞬間に、既存の公開鍵暗号は概念的にはすべて脆弱になったと指摘する。
グローバル・リスク・インスティテュートが 2024 年に実施した 32 名の専門家を対象とする調査では、今後 10 年以内に暗号的に意味のある量子コンピュータが登場する確率を19〜34%と見積もっており、2023 年の 17〜31%から上昇している。多くの専門家は、2030 年代前半〜中頃を最もあり得るタイミングとして収束しつつある。
関連記事: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
「ポスト量子暗号」とは何か
ポスト量子暗号(Post-Quantum Cryptography、PQC)とは、古典計算機と量子計算機の両方からの攻撃に耐えるように設計された暗号アルゴリズム群を指す。
量子力学そのものを利用した鍵配送に依存する量子暗号とは異なり、PQC は完全に従来型ハードウェア上で動作する。この違いはブロックチェーンにとって極めて重要であり、既存のノードやウォレットが、専用の量子機器なしにこれらの方式を採用できることを意味する。
PQC アルゴリズムは、長年の学術研究を経て、5 つの主要なファミリーが台頭してきた。
それぞれが、量子コンピュータでは効率的に解けない問題を構成するために根本的に異なる数学的アプローチを採っており、その結果として署名サイズ、計算速度、安全性の前提条件などに固有のトレードオフを持つ。
関連記事: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
格子ベース暗号:最有力候補
格子ベースの方式は、ポスト量子暗号の世界を席巻している。最も有名な 2 つのアルゴリズム──鍵カプセル化の CRYSTALS-Kyber(標準化後の名称は ML-KEM)と、デジタル署名の CRYSTALS-Dilithium(ML-DSA)──は、その安全性を Module Learning With Errors(モジュール付き誤り学習)問題に依拠している。ごく簡単に言えば、構造化された数学的格子上で定義される「ノイズ入り線形方程式系」から、秘密ベクトルを復元する問題である。
基本的な演算は多項式演算とハッシュ評価に還元されるため、格子ベース方式は高速であり、多様なハードウェア・プラットフォームに幅広く実装しやすい。
最低セキュリティレベルにおける ML-DSA は、およそ 2,420 バイトの署名と 1,312 バイトの公開鍵を生成する。これは、現在の ECDSA が生み出すコンパクトな 64 バイト署名の約 38 倍にあたる。
このサイズ増加は、多くのインターネット用途にとっては許容範囲だ。しかし、トランザクション内の 1 バイトごとがスループットと手数料に直結するブロックチェーンでは、深刻なエンジニアリング上の制約となる。
関連記事: Hyperliquid Hits 44% Of All Perp DEX Volume
ハッシュベース署名:堅牢だが高コスト
ハッシュベース暗号は、PQC ファミリーの中で最も保守的な安全性の保証を提供する。SPHINCS+(標準化後の名称は SLH-DSA)は、将来の数学的ブレークスルーで破られる可能性のある代数的仮定に依存せず、ハッシュ関数そのものの性質だけに頼っている。
この方式は、暗号研究者が「ハイパーツリー」と呼ぶ構造──ワンタイム Winternitz 署名をメルクル木で階層的につないだ構造──を構成し、単一の鍵ペアから無制限のステートレス署名を可能にしている。
その代償は厳しい。
SLH-DSA が生成する署名サイズは、選択するパラメータセットに応じておよそ 7,856 バイトから 49,856 バイトの範囲に及び、署名生成処理は格子ベースの代替方式に比べて約 100 倍遅い。
ステートフル版である XMSS は、約 2,500〜5,000 バイトとよりコンパクトな署名を生成できるものの、どのワンタイム鍵を既に使用したかを厳密に管理する必要がある。同じ鍵を再利用すると、安全性の保証は完全に失われてしまう。
ブロックチェーンにとって、ハッシュベース方式はパラドックスを孕んでいる。安全性の前提条件はあらゆる PQC ファミリーの中で最も強い一方で、その署名サイズの大きさは、高スループットなチェーンでは実用性を損ないかねない。
関連記事: Circle Wants The EU To Let Stablecoins Settle Trades
符号ベースその他のアプローチ:強みと失敗
符号ベース暗号は、Classic McEliece に代表されるように、ランダム線形符号を復号する困難さに基づいている。この問題は 1978 年に初めて提案されて以来、40 年以上にわたる継続的な暗号解析に耐えてきた。
その公開鍵は極めて巨大で、261KB から 1.3MB の範囲に及ぶ一方で、暗号文は 128〜240 バイトと小さい。より新しい符号ベース方式である HQC は、NIST によって 2025 年 3 月、バックアップ用鍵カプセル化メカニズムとして選定された。
多変数多項式暗号は、有限体上の多変数二次方程式系を解く問題が NP 困難であることに依拠している。
このファミリーの有力候補だった Rainbow は、研究者 ワード・ベウレンスにより 2022 年 2 月に壊滅的な攻撃を受けた。彼は一般的なノート PC で 53 時間かけて秘密鍵を復元してみせた。
基礎となる UOV 方式は生き残っており、そのコンパクトな派生である MAYO は、2024 年 10 月に NIST の第 2 ラウンド追加署名コンペティションに進出した。
同じく別のアプローチであるアイソジェニー・ベース暗号は、さらに劇的な崩壊を経験した。最小クラスの鍵サイズ(約 330 バイト)を誇った SIKE は、KU ルーヴェンの ヴァウター・カストリック と トマス・デクルー が数学者 エルンスト・カニ の 1997 年の定理を利用した古典的鍵復元攻撃を発表した 2022 年 8 月に破られた。
SIKEp434 は、単一 CPU コア上で 1 時間で破られてしまった。SQISign や CSIDH といった新しい方式の研究は続いているものの、NIST のメイン標準化コンペティションには、もはやアイソジェニー・ベースのアルゴリズムは残っていない。
関連記事: A $30M Pharma Company Just Bought $147M Of One Crypto Token
NIST による 8 年間の標準化マラソン
NIST は 2016 年 12 月にポスト量子暗号標準化プロセスを開始し、2017 年 11 月までに 69 件の候補提案を受理した。その後 3 ラウンドにわたる公開暗号解析が実施され、その過程で Rainbow と SIKE の致命的な欠陥が暴かれることになった。
このプロセスは 2024 年 8 月 13 日、最初の 3 つの最終標準が公表されることで集大成を迎えた。
Kyber をベースとする FIPS 203 は、ML-KEM という名称で鍵カプセル化を扱う。Dilithium をベースとする FIPS 204 は、ML-DSA としてデジタル署名をカバーする。SPHINCS+ をベースとする FIPS 205 は、SLH-DSA と呼ばれる代替ハッシュベース署名標準を提供する。
4 つ目の標準である FIPS 206 は、FALCON アルゴリズムをベースとしており、2025 年 8 月にドラフト承認の段階に入り、2026 年末から 2027 年初頭にかけて最終化されると見込まれている。
FALCON が生成する署名はおよそ 666 バイトであり、Dilithium が必要とする 38 倍ではなく、ECDSA の約 10 倍のサイズに抑えられている。 — これにより、ポスト量子署名方式として最もコンパクトであり、ブロックチェーン用途にとって最有力候補となっている。
NIST プロジェクトリーダーの Dustin Moody は、組織に対して可能な限り早期に移行を開始するよう呼びかけている。
NSA の CNSA 2.0 フレームワークでは、2030 年までにソフトウェア署名についてポスト量子アルゴリズムのみを使用すること、さらに 2033 年までにウェブインフラについても同様とすることを義務付けている。NIST 自身も 2035 年までに楕円曲線暗号を完全に廃止する計画だ。米国政府は、この移行にかかる総コストを約 71 億ドルと見積もっている。
こちらもおすすめ: Polymarket Bans Insider Trading
ビットコインの BIP-360:ガバナンス上の課題を抱える量子シールド
ビットコインにおける最も重要な耐量子提案は BIP-360 であり、MARA の Hunter Beast、Ethan Heilman、Isabel Foxen Duke によって共同提案された。
2024 年 6 月に提案され、2025 年初頭に公式 BIP リポジトリへマージされたこの提案は、bc1z アドレスを使う SegWit バージョン 2 出力による Pay-to-Merkle-Root(P2MR)と呼ばれる新たなアウトプットタイプを導入する。P2MR は Taproot から量子に脆弱なキー・パス支出を取り除き、ML-DSA や SLH-DSA のような具体的な PQC 署名方式を追加する将来のソフトフォークに向けたモジュラーな基盤を築く。
2026 年 3 月 20 日、BTQ Technologies は、完全な P2MR コンセンサスルール、5 種類の Dilithium ポスト量子署名オペコード、およびエンドツーエンドのウォレットツールを備えた Bitcoin Quantum Testnet v0.3.0 上に、初の動作する BIP-360 実装を展開した。
このテストネットには 50 を超えるマイナーが参加し、10 万ブロック以上が処理された。
Chaincode Labs は 2025 年 5 月の分析で、ビットコインにおける PQC イニシアチブは依然として初期かつ探索的な段階にあると指摘している。
署名サイズの問題は極めて大きい。典型的なビットコイントランザクションは ECDSA を用いて約 225 バイトである。およそ 72 バイトの署名を、Dilithium2 の 2,420 バイトの署名と 1,312 バイトの公開鍵に置き換えると、入力あたり約 3,700 バイトが追加され、現在のトランザクション全体のサイズの約 16 倍となる。
研究者らは、パーミッション型テストネットで 52〜57%、パーミッションレスネットワークでは 60〜70%のスループット低下と、手数料が 2〜3 倍になる可能性を予測している。よりコンパクトな署名を持つ FALCON-512 であれば、この影響はトランザクションあたり約 7 倍程度に抑えられ、ブロックチェーン導入にとって最有力候補となる。
ビットコインの保守的なガバナンス文化はこの課題をさらに増幅させる。SegWit が広く採用されるまでには約 8.5 年、Taproot には 7.5 年を要した。
旧アドレス形式にあるコインを、ある期限以降は支出不能とする QRAMP という物議を醸す提案は、今後待ち受けるガバナンス上の地雷原を象徴している。
一方で、推定 110 万 BTC のサトシの P2PK アドレスを含め、およそ 650 万 BTC が量子に脆弱なアドレスに置かれたままになっている。
こちらもおすすめ: Larry Fink Says Tokenization Is Where The Internet Was In 1996
イーサリアムのアカウント抽象化は、よりクリーンな道筋を提示
イーサリアムは 2026 年初頭、明確な動きを見せた。
1 月 23 日、Ethereum Foundation はポスト量子セキュリティを最優先の戦略的課題に正式に位置付け、暗号エンジニア Thomas Coratger が率いる専任 PQ チームを発足させた。
主任研究者の Justin Drake は、何年にもわたる静かな研究開発を経て、財団の経営陣が PQ セキュリティを最優先の戦略的課題と正式に宣言し、タイムラインが加速しており「フル PQ」に移行すべき時だと発表した。財団は Poseidon 賞と Proximity 賞という 2 つの PQC 研究助成に分けて合計 200 万ドルの資金を拠出した。
Vitalik Buterin は 2026 年 2 月 26 日、イーサリアムスタック全体にわたる 4 つの脆弱領域を対象とした包括的な耐量子ロードマップを発表した。具体的には、コンセンサスレイヤーの BLS 署名を STARK 集約付きハッシュベース署名に置き換えること、KZG コミットメントを量子耐性のある STARK に置き換えること、外部所有アカウント(EOA)の ECDSA 署名をネイティブなアカウント抽象化によって対処すること、そしてアプリケーションレイヤーのゼロ知識証明を Groth16 から STARK へ移行することが掲げられている。
重要な実現メカニズムが、Buterin らによる EIP-8141「Frame Transactions」である。これはイーサリアムアカウントを固定的な ECDSA 署名から切り離し、各アカウントが量子耐性署名、マルチシグ、鍵ローテーションなど、独自の検証ロジックを定義できるようにする。
ビットコインがハードフォークを必要とする可能性があるのとは対照的に、EIP-8141 はネイティブなアカウント抽象化によってこれを実現し、楕円曲線暗号からポスト量子安全なシステムへのオフランプを提供することで、ネットワーク全体を一度に強制移行させる必要をなくしている。この提案は 2026 年末予定の Hegotá ハードフォークをターゲットとしている。
こちらもおすすめ: Strategy Opens $44B In New ATM Capacity
量子対応ブロックチェーンの先頭を走る Algorand と QRL
Algorand (ALGO) は、NIST が選定した FALCON-1024 署名をメインネット上で使用し、2025 年 11 月 3 日に公開ブロックチェーンとして初のポスト量子トランザクションを実行した。
チューリング賞受賞者の Silvio Micali によって創設された Algorand のチームには、FALCON の基盤となる GPV フレームワークの共著者 Chris Peikert や、NIST の FALCON 提案への直接の貢献者である Zhenfei Zhang が名を連ねる。同チェーンの State Proof は 2022 年以降 FALCON 署名を使用しており、クロスチェーン検証に関してはブロックチェーンの全履歴が量子安全となっている。
Algorand は、2.8 秒のブロックタイムで 1 秒あたり 1 万件のトランザクション処理とポスト量子署名の両立が可能であることを示している。
QRL(Quantum Resistant Ledger)は、2018 年 6 月にローンチされ、ジェネシスブロックから一貫して XMSS ハッシュベース署名による量子耐性を備えている。
7 年間にわたりセキュリティインシデントなく稼働した後、QRL 2.0(Project Zond)はステートレスな SPHINCS+ への移行と EVM 互換性の追加を進めている。
Solana (SOL) は 2025 年 1 月にオプションの Winternitz Vault を導入し、Solana Foundation は 2025 年 12 月に Project Eleven と提携して、Ed25519 を Dilithium に置き換えるパブリックテストネットを開設した。IOTA は 2021 年に量子耐性から離れ、パフォーマンス上の理由から Winternitz 署名から Ed25519 へ切り替えたことで知られており、量子への備えと現在のスループット需要との間の実務的な緊張関係を示す事例となっている。
こちらもおすすめ: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
「今すぐ収集し、後で復号」は現実 —— ただしブロックチェーンでは慎重な理解が必要
「harvest now, decrypt later(今すぐ暗号データを収集し、量子コンピュータが十分強力になった後に復号する)」という戦略は、各国政府や情報機関の間で危機感を高めている既知の脅威である。NSA のサイバーセキュリティディレクターである Rob Joyce は、量子安全暗号への移行は長期にわたる集団的な取り組みになると警告している。
世界経済フォーラムの Quantum Security Initiative に所属する Chris Ware は、中国をこの種の攻撃を大規模に遂行し得る国家として名指ししている。
しかしブロックチェーンに関しては、「harvest now」という枠組みには慎重なニュアンスが必要だ。a16z crypto の Justin Thaler が 2025 年 12 月の分析で論じたように、パブリックブロックチェーンに対する量子の脅威は復号ではなく、署名偽造である。
ビットコインの台帳はすでに公開されており、収集すべき暗号化データは存在しない。
実際の危険は直接的な鍵導出にある。暗号的に有用な量子コンピュータが存在するようになれば、オンチェーンで公開鍵が露出したあらゆるアドレスは、その露出時期にかかわらず即座に危険にさらされる。
ブロックチェーンの恒久的かつ不変な記録は、その露出を不可逆的なものにしてしまう。取引詳細を暗号化する Monero (XMR) や Zcash (ZEC) のようなプライバシー重視のコインは、より伝統的な「harvest now」リスクにも直面している。
こちらもおすすめ: Fed Hawkish Tone Triggers $405M Crypto Outflows
現在の量子ハードウェアは、暗号破りにはまだ程遠い
Google が 2024 年 12 月に発表した 105 量子ビットの Willow チップは、しきい値未満の量子誤り訂正を初めて実証し、システムに量子ビットを追加するほど誤りが指数関数的に減少することを示した。このチップは、古典的なスーパーコンピュータでは 10 の 25 乗年かかると見積もられる特定のベンチマーク計算を 5 分未満で完了させた。
しかしサセックス大学の Winfried Hensinger が指摘したように、このチップは依然として暗号システムを脅かすような有用計算を行うにはあまりに小さすぎる。
IBM のロードマップはtargets 200 個の論理量子ビットを 2029 年までに Starling プロセッサで実現することを目標としている。Microsoft のトポロジカル・マヨラナ 1 チップは 2025 年 2 月に公開され、新しい量子ビットアーキテクチャによって、従来よりはるかに効率的な誤り訂正を実現すると期待されている。
しかし、楽観的な予測であっても、これらのマイルストーンは、ECDSA に対して大規模に Shor のアルゴリズムを実行するために必要となる数百万の物理量子ビットには遠く及ばない。
Google の Craig Gidney が 2025 年 5 月に発表した論文は、RSA-2048 を因数分解するための推定リソース要件を、2,000 万個から 100 万個未満のノイズの多い量子ビットへとcompressedし、20 倍の削減によってタイムライン予測を大きく引き締めた。予測プラットフォームである Metaculus は、実用的な規模で Shor のアルゴリズムが RSA を因数分解できるようになる時期についての予測を、2052 年から 2034 年へと前倒しした。
「Q-Day」——量子コンピュータが現在の公開鍵暗号を実際に破る瞬間——という概念は、依然として動く標的であり続けている。数学者 Michele Mosca の定理は、その切迫性をシンプルにcapturesしている。すなわち、「移行に必要な時間」と「データの保存期間」の合計が、「Q-Day までに残された時間」を上回るのであれば、すでに手遅れである、というものだ。
Also Read: What Will It Take For Solana To Reclaim $90?
総括
ポスト量子暗号アルゴリズムはすでに機能している。NIST の標準は公開されており、FALCON はブロックチェーンへの実装に現実的な署名サイズを提供し、Algorand は本番ネットワーク上で PQC トランザクションをスケールさせられることを実証した。困難なのは暗号学そのものではなく、社会的かつ構造的な問題である。Bitcoin の分散型ガバナンスは、プロトコルを迅速に変更することを極めて困難にしており、ECDSA の 10~38 倍に達する署名サイズはスループットを圧迫し手数料を押し上げるだろう。さらに、量子に脆弱なアドレスに存在する約 650 万 BTC は、かつてないレベルの調整問題を引き起こす。
行動すべき期間を規定するのは、「暗号的に意味のある量子コンピュータ」がいつ到来するかではなく、「移行そのものにどれだけ時間がかかるか」である。
Bitcoin のアップグレードには歴史的に 7~8 年を要し、各国政府の義務化の目標時期が 2030〜2035 年に設定されていることを踏まえると、暗号資産業界の量子対応に残されたタイムラインは、すでに不快なほどタイトだ。今まさに移行を始めるプロジェクトは、Q-Day 到来時にも安全でいられる。一方、先送りにするプロジェクトは、そうはならない。
Read Next: Resolv USR Crashes 72% After $25M Exploit