Google の Quantum AI whitepaper published(2026年3月30日公開)は、総供給量の約3分の1にあたる約690万 Bitcoin (BTC) が、量子計算機による「保管時(at-rest)」攻撃に対して脆弱なアドレスに置かれており、その中にはネットワークの匿名の創設者 Satoshi Nakamoto に紐づくと推定される約110万BTCが含まれていると指摘している。
要点(TL;DR)
- Google Quantum AI は、Bitcoin の256ビット楕円曲線暗号を破るのに必要な物理量子ビット数が50万未満になり得ると示し、従来推定の約20分の1に削減した。
- 約690万BTCが公開鍵が恒久的に露出しているアドレスタイプにあり、将来の量子保管時攻撃の標的になり得る。
- サトシ時代のP2PKアドレスは誰にもアップグレードできず、休眠コインを凍結すべきか脆弱なまま放置すべきかという難しいガバナンス問題を提起する。
Google のホワイトペーパーが実際に述べていること
この論文の正式タイトルは「Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations(量子脆弱性に対する楕円曲線暗号通貨の防御:リソース推定と緩和策)」と長い。全57ページにわたり、大手テクノロジー企業によるものとしては最も詳細な量子暗号脅威評価となっている。runs
Google Quantum AI の研究者 Ryan Babbush、Adam Zalcman、Craig Gidney、Michael Broughton、Tanuj Khattar、Hartmut Neven の6人が共著し、外部協力者として UC Berkeley の Thiago Bergamaschi、Ethereum Foundation の Justin Drake、スタンフォード大学の Dan Boneh が参加した。
論文の中心的な技術的貢献は、256ビット曲線上の楕円曲線離散対数問題(ECDLP)に対する Shor のアルゴリズムを implement する、最適化された2種類の量子回路である。
これはまさに、Bitcoin を保護している暗号プリミティブそのものである。
一つ目の回路は1,200未満の論理量子ビットと9,000万のToffoliゲートを使用し、もう一つは1,450未満の論理量子ビットと7,000万のToffoliゲートを使用する。
Google は、これらの回路が50万未満の物理量子ビットを備えた超伝導量子コンピュータ上で数分以内に実行可能だと見積もっている。従来の推定では、はるかに多くのハードウェアが必要とされてきた。University of Sussex の広く引用された2022年の論文は、1時間以内の攻撃には3億1,700万の物理量子ビット、10分の攻撃には19億の物理量子ビットが必要と projected していた。Google の結果はこの要件をおよそ20分の1に圧縮したことになる。
資源見積もり論文としては異例の対応として、Google は実際の回路実装を公開していない。その代わりに、SP1 と Groth16 SNARK を用いたゼロ知識証明を公開した。独立研究者は攻撃の詳細にアクセスすることなく、主張の正当性を検証できる。
これは、Google における以前の量子研究の成果を builds するものだ。
2024年12月に発表され Nature に掲載された Willow チップは、超伝導プロセッサとして初めて「しきい値以下」の量子誤り訂正を実証し、105個の超伝導量子ビットを搭載していた。3x3、5x5、7x7 の量子ビット格子へとステップを進めるごとに誤り率は半減した。Willow は、フロンティア・スーパーコンピュータであれば推定10セプティリオン年を要するベンチマークを5分未満で完了した。
とはいえ、Willow が現時点で暗号に脅威を与えるものではないと Google は明言している。
Google Quantum AI のディレクター兼COOである Charina Chou 氏は、2024年12月に The Verge に対し、このチップは現代暗号を破ることはできず、RSA を破るには約400万の物理量子ビットが必要になると語っている。
関連記事: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
なぜサトシのコインが最も危険なのか
Google の分析の中心にある脆弱性は、Bitcoin 創世期の設計判断にさかのぼる。サトシ・ナカモトが2009年1月3日にネットワークをローンチしたとき、マイニングソフトウェアはブロック報酬を P2PK(Pay-to-Public-Key)出力に送っていた。この形式では、コインが着金した瞬間からフルの公開鍵がブロックチェーン上に恒久的に可視状態で置かれる。
ロックスクリプトは、公開鍵に続けて OP_CHECKSIG コマンドを並べただけのシンプルなものだった。つまり、65バイトの非圧縮公開鍵または33バイトの圧縮公開鍵が、チェーンを読む誰に対しても露出している。
それを保護するハッシュ層は存在しない。
サトシは、公開鍵のハッシュのみを格納する P2PKH(Pay-to-Public-Key-Hash)も implemented していた。P2PKHアドレスは、「1」で始まるおなじみの形式で、ジェネシスブロックから2週間以内にブロックチェーン上に登場している。
この設計は意図的なものだった。サトシは、将来の量子コンピュータ上で改良版 Shor のアルゴリズムが動けば、楕円曲線暗号が破られ得ることを認識していた。
その認識にもかかわらず、マイニングソフトウェアは2009年と2010年を通じてコインベース報酬に P2PK をデフォルト利用し続けた。Sergio Demian Lerner による2013年発表の画期的な Patoshi パターン研究は、2009年1月から2010年半ばまでに約2万2,000ブロックを単一の存在が採掘したことを identified した。その存在は約100万〜110万BTCを蓄積したとされる。
そのマイニング挙動は公開クライアントとは明確に異なっており、マルチスレッドによるナンススキャンを用い、ネットワークの安定性を守るために出力を意図的に絞っていたとみられる。
そのストックから実際に使われたのは約907BTCのみである。最も有名な取引は、2009年1月12日に Hal Finney へ10BTCを送った、世界初の対人Bitcoinトランザクションだ。
これらのコインは一度も動いていないため、公開鍵は恒久的に露出したままだ。Shor のアルゴリズムを実行できる量子コンピュータであれば、時間制約なしに対応する秘密鍵を導出できる。これが中核となる「保管時(at-rest)」攻撃ベクトルである。
関連記事: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
3つの攻撃ベクトルと690万BTCの露出
Google のホワイトペーパーは、暗号通貨に対する量子攻撃の分類法を formalizes し、さまざまな脅威ベクトルの規模を明確にしている。
保管時攻撃は、ブロックチェーン上で恒久的に公開鍵が露出しているアドレスを標的とする。攻撃者は、秘密鍵を導出するのに日・月・年単位の無制限の時間を持つ。このカテゴリには主に次の3種類のアドレスが含まれる。
- コイン到着時からロックスクリプト内に公開鍵が見えている P2PK アドレス
- 最初の送金トランザクション後に公開鍵が露出した、再利用された P2PKH アドレス
- 設計上、調整(tweak)済み公開鍵をそのままオンチェーンに格納する P2TR/Taproot アドレス
Google は、Taproot を量子の観点からはセキュリティの後退(regression)と identifies している。中性原子型やイオントラップ型などの、クロックが遅い量子アーキテクチャであっても、時間制約がないため保管時攻撃は実行可能だ。オンチェーン分析によれば、P2PKスクリプトには約170万BTC、再利用やTaproot露出を含めると合計約690万BTCが脆弱なアドレス種別に置かれている。
使用時攻撃(旧称「転送中(in-transit)」攻撃)は、メモリプール内のトランザクションを標的とする。
ユーザーがトランザクションをブロードキャストすると、インプット内で公開鍵が revealed される。攻撃者は、そのトランザクションが承認される前、すなわちBitcoinではおよそ10分の間に秘密鍵を導出しなければならない。
Google の論文によると、高速クロックの超伝導量子コンピュータであれば、ECDLP を約9分で解き、承認前に競り勝てる確率はおよそ41%になる。
セットアップ時攻撃は、トラステッドセットアップ儀式のような固定プロトコルパラメータを狙う。Bitcoin はこのベクトルには免疫がある。しかし、Ethereum (ETH) の Data Availability Sampling や Tornado Cash のようなプロトコルは脆弱になり得る。
重要なのは、プルーフ・オブ・ワークによるマイニング自体は脅かされていないという点である。Grover のアルゴリズムは SHA-256 に対し二次的な高速化しかもたらさず、有効なセキュリティレベルは256ビットから128ビットに下がるものの、依然として現実的な攻撃可能性からはほど遠い。Dallaire-Demers らによる2026年3月の論文は、量子マイニングには約10²³個の量子ビットと10²⁵ワットの電力が必要であり、文明規模のエネルギー需要に近づくと demonstrated している。
関連記事: Bitcoin Faces Six Bearish Months But ETF Demand Grows
Bitcoin にとっての Q-Day はどれくらい先か?
現在の量子ハードウェアと暗号への実用的影響とのギャップは依然として大きいが、想定より速いペースで縮まりつつある。
現時点の主要プロセッサには、105個の超伝導量子ビットを持つ Google の Willow、改良された忠実度で120量子ビットの IBM Nighthawk、98個の捕捉イオン量子ビットを持つ Quantinuum の Helios、そして Caltech の6,100個の中性原子量子ビットアレイ(記録的規模)が include される。
一般用途として最大のシステムは、依然として1,121量子ビットの IBM Condor である。Google が提示した「50万未満の物理量子ビット」という新たな目標値に対して、アーキテクチャによって約80〜5,000倍のギャップがある。
Several developments 2025年と2026年にはタイムラインが加速している。
- Microsoft は2025年2月に Majorana 1 を発表した — トポロジカル量子ビットを用いた初のプロセッサで、手のひらサイズのチップ上で100万量子ビットへのスケールを想定して設計されている。ただし、追試研究の一部では、トポロジカル効果が決定的に実証されているかどうかに疑義が示されている。
- Amazon の Ocelot チップも2025年2月に登場し、「猫量子ビット」を用いることで、誤り訂正のオーバーヘッドを最大90%削減するとされている。
- Google のホワイトペーパーと同時に公開された関連論文では、楽観的な前提のもと、中性原子アーキテクチャなら10,000物理量子ビット程度で ECC-256 を破れる可能性があると主張している。
専門家によるタイムラインの予測は大きくばらついている。Google は自社システムをポスト量子暗号へ移行する社内デッドラインを2029年に設定している。
Ethereum リサーチャーの Justin Drake は、2032年までに量子コンピュータが secp256k1 ECDSA 秘密鍵を復元できる確率を最低でも10%と見積もっている。IonQ のロードマップでは、2030年までに80,000論理量子ビットを目標としている。
懐疑的な側では、Blockstream の CEO Adam Back は、2028年を想定したタイムラインを信頼できないと一蹴している。NVIDIA の CEO Jensen Huang は、有用な量子コンピュータの実現時期を今後15〜30年先と見ている。NIST は、2035年までにポスト量子暗号への移行を完了するよう推奨している。
アルゴリズム面での改良トレンドも緊迫感を高めている。楕円曲線暗号を破るために必要とされる物理量子ビット数は、2010年から2026年の間に4〜5桁減少した。Google の最新サーキットは、それ以前のベスト見積もりからさらに20倍の削減を示している。
Also Read: Chainalysis Launches AI Bots To Fight Crypto Crime
ビットコイン・プロトコルを量子耐性にする競争
ビットコイン開発者コミュニティは、いくつかの提案をめぐって活発に動いているものの、根本的なガバナンス上の課題は残ったままだ。
MARA/Anduro 所属の Hunter Beast、Ethan Heilman、Isabel Foxen Duke による BIP-360(Pay-to-Merkle-Root)は、2025年2月に公式 BIP リポジトリにマージされた。これは、スクリプトツリーのマークルルートだけをコミットする、bc1z プレフィックスを持つ新しい SegWit バージョン2 のアウトプットタイプを導入する。これにより、Taproot における量子脆弱なキー・パス・スペンドが取り除かれる。BIP-360 自体はポスト量子署名を導入するものではないが、そのための枠組みを提供する。
BTQ Technologies は、自社の Bitcoin Quantum テストネット上で動作する BIP-360 実装を稼働させている。2026年3月時点で、50以上のマイナーが参加し、100,000ブロック超が生成されている。
Lopp/Papathanasiou 提案は、2025年7月の Quantum Bitcoin Summit で発表され、3段階のソフトフォーク案を示している。
フェーズAでは、BIP-360 有効化から3年後に、レガシー ECDSA アドレスへの送金を禁止する。フェーズBでは、その2年後にすべてのレガシー署名を無効化し、量子脆弱なコインを恒久的に凍結する。フェーズCでは、BIP-39 シードを保有していることをゼロ知識証明で示す任意の救済パスを提供する。
Agustin Cruz による QRAMP 提案は、より強硬な立場をとる。ハードフォークによる強制的な移行期限を設け、その期限後に未移行のコインは使用不可能とすることを提案している。Marathon Digital の Hunter Beast と Michael Casey による Hourglass 提案は、その中間的なアプローチであり、量子に晒されたコインの移動を1ブロックあたり1 UTXO にレート制限することで、想定される攻撃を数時間から約8カ月に引き伸ばす。
標準化の面では、NIST は2024年8月に、最初の3つのポスト量子暗号標準を確定した。鍵カプセル化のための ML-KEM(CRYSTALS-Kyber ベース)、電子署名のための ML-DSA(CRYSTALS-Dilithium ベース)、そしてバックアップ署名標準として SLH-DSA(SPHINCS+ ベース)である。
5つ目のアルゴリズムである HQC は、2025年3月にバックアップ鍵カプセル化方式として選定された。
ビットコインへの統合で最大の課題となるのは署名サイズだ。Dilithium 署名は約2,420バイトであり、約72バイトの ECDSA と比べると33倍の増加となる。これはブロックスペースに負担をかけ、トランザクションコストを大幅に押し上げることになる。
ビットコイン以外でも、エコシステム全体の動きは早い。
Ethereum Foundation は、2026年1月にポスト量子セキュリティをコア優先事項に位置づけ、2029年までの量子耐性を中期目標とする4段階のハードフォーク・ロードマップを開始した。Coinbase は、Scott Aaronson、Dan Boneh、Justin Drake らをメンバーとする量子コンピューティング独立諮問委員会を設立した。
Also Read: Cardano Whales Grab $53M In ADA But Price Stays Flat
ビットコイン保有者が今すべきこと
個々のビットコイン保有者にとっては、プロトコルレベルの議論が続いている一方で、実務的な指針は比較的明快である。P2WSH(SegWit witness script hash、62文字の bc1q)や P2WPKH(SegWit、42文字の bc1q)アドレスに保管され、まだ一度も送金に利用されていないコインは、現時点で利用可能な中で最も強力な保護を提供する。
オンチェーンで見えているのは公開鍵のハッシュのみである。
P2TR/Taproot(bc1p)アドレスは、大口や長期保有には避けるべきだ。設計上、公開鍵が晒される。
最も重要な実践は、アドレスを再利用しないことだ。いったんどのアドレスからでもビットコインを送金すると、そのアドレスの公開鍵が明らかになり、そのアドレスに残っている、あるいは今後受け取る資金は量子攻撃に脆弱になる。ユーザーは、Project Eleven のオープンソースツール「Bitcoin Risq List」を用いて、自分のエクスポージャーを確認できる。このリストはネットワーク上のあらゆる量子脆弱なビットコインアドレスを追跡している。
露出したアドレスから、新規で一度も使用されたことのないハッシュベースアドレスへ資金を移すことで、保管中の脆弱性は解消される。
ビットコインカストディ企業 Unchained も注意喚起しているように、量子コンピュータへの不安を煽り、性急な送金を迫る詐欺に警戒すべきである。今すぐ緊急に行動する必要はない。
より根深い問題は、P2PK アドレスにある約170万 BTC(うち、Satoshi が保有していたと推定される約110万 BTC を含む)だ。これらの鍵は不可逆的に晒されており、所有者がそれらを移動させられる可能性はほぼない。こうしたコインを凍結するか、レート制限するか、それとも量子窃盗に晒されたままにしておくかは、ビットコイン史上でも最も重要なガバナンス論争の一つになりつつある。
Jameson Lopp が表現しているように、量子コンピュータによるビットコイン回収を許容することは、量子コンピュータを手に入れる技術競争に勝った者への「富の再分配」を意味する。
Also Read: Saylor Quiet On Bitcoin After 13-Week Buying Spree
結論
Google の2026年3月のホワイトペーパーは、差し迫った脅威が存在することを示したわけではない。現時点でビットコインの暗号を破れる量子コンピュータは存在しない。ただしそれは、必要なリソースの推定値を劇的に圧縮し、「いつかの理論的な話」ではなく「準備が急務」といえるタイムラインを明確化した。
必要物理量子ビット数が50万未満にまで下がったことと、過去15年間で推定値が4〜5桁も減少してきたことを踏まえると、現在の能力と暗号的な意味での「関連性」を保てる能力との間のギャップは、2020年代後半から2030年代初頭に向かう業界ロードマップと交差する軌道上で縮まりつつある。6.9百万 BTC の保管中脆弱性は、既に把握・定量化されたリスクであり、鍵を失った P2PK アドレスに対しては事後的な修正が存在しない。
ビットコインに対する量子の脅威は、主としてハードウェアの問題ではない。ガバナンスと移行の問題である。必要なプロトコルアップグレードと社会的コンセンサスの形成には、ビットコインのエコシステムでは歴史的に「5〜10年」を要してきた。時計は、Google があの数字を公表した瞬間に動き始めている。
Read Next: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares