何兆ドルものデジタル資産を守っている暗号ロックは、「量子コンピューターが存在しない世界」を前提に設計されている。
しかし、その前提となる世界は、暗号資産業界の多くが認識しているよりもはるかに速く終わりつつあり、業界の対応は依然として危険なまでに断片的な状態だ。
NIST は 2024年8月に最初の3つのポスト量子暗号標準をfinalizedし、公開鍵暗号を利用するあらゆる組織に対して「直ちに移行を開始する」よう通達した。
Bitcoin(BTC)だけでも、およそ1.57兆ドルの時価総額を持っており、その大部分は、十分に強力な量子コンピューターによって破られ得る楕円曲線デジタル署名アルゴリズムによって保護されている。時計はすでに動き出している。
TL;DR
- NIST の 2024年ポスト量子標準は、暗号資産プロジェクトが楕円曲線暗号からの移行を開始しない場合、存在的なセキュリティリスクに直面するという「実質的な締め切り」を示している。
- 露出した P2PK アウトプットや再利用アドレスに存在する推定400万 BTC は、暗号的に関連する量子コンピューターが登場した時点で直接的な脆弱性を抱える可能性がある。
- 主要ブロックチェーンの大半には拘束力のあるポスト量子アップグレードのロードマップがなく、2020年代後半に向けて断片化し時間に追われるセキュリティ環境を生んでいる。
1. ブロックチェーンに対する量子脅威は「具体的」であり、単なる理論ではない
「量子脅威」という言葉はしばしば漠然と使われるが、ブロックチェーンに関して言えば、その危険性は明確かつ十分に文書化されている。
多くのブロックチェーンのセキュリティの中核には2つのアルゴリズムがある。トランザクション認可に使われる楕円曲線デジタル署名アルゴリズム(ECDSA)と、ビットコインのプルーフ・オブ・ワーク採掘に使われる SHA-256 だ。これらは量子計算に対して全く異なるレベルのリスクに晒されている。
1994年に開発された Shor のアルゴリズムは、大きな整数の因数分解や離散対数問題を、量子コンピューター上で多項式時間で解くことができる。
University of Sussex の研究者らは 2023年に arXiv で発表した論文の中で、ビットコインの 256ビット楕円曲線暗号を破るには、物理キュービット約3億1,700万個と低エラー率を備えた量子コンピューターが必要だと推定した。
これに対し Grover のアルゴリズムは、SHA-256 のようなハッシュ関数に対しては二乗根程度の高速化しか提供せず、実質的にはビットコインのマイニングセキュリティを 256ビットから128ビットに低下させるにとどまる。このレベルは、少なくとも見通しの立つ将来においては実用上十分に安全だと考えられている。
この「非対称性」は極めて重要だ。
ECDSA 署名こそがブロックチェーンセキュリティの「柔らかい急所」であり、プルーフ・オブ・ワーク採掘のセキュリティマージンは、量子ハードウェアによっても比較的わずかに削られるだけだ。
つまり、脅威の本質はビットコインネットワークがブロックを生成し続ける能力にあるのではなく、個々のユーザーが自分のコインの所有権を証明する能力にあるということだ。Andreas Antonopoulos らが以前から指摘しているように、資金はデジタル署名を通じて認可されており、まさにこの部分こそが量子コンピューターの最初の攻撃対象となる。
Also Read: XRP Whale Buying And ETF Inflows Align For First Time In 2026
2. NIST の 2024年標準が業界の「移行タイマー」をセットした
この問題の規制・標準化の側面は、ハードウェアのタイムラインよりも緊急性が高いとすら言える。
世界中の研究チームから提出された82の候補アルゴリズムを6年間かけて評価した結果、NIST は 2024年8月に3つのポスト量子暗号標準を最終決定した。FIPS 203(ML-KEM、旧 CRYSTALS-Kyber)、FIPS 204(ML-DSA、旧 CRYSTALS-Dilithium)、FIPS 205(SLH-DSA、旧 SPHINCS+)である。
これらは将来の参考のための「任意ガイドライン」ではない。NIST は組織に対し、ポスト量子暗号への移行計画を今すぐ開始するよう明確に指示している。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、重要インフラ事業者に対して暗号依存関係の棚卸しと移行の優先順位付けを指示するガイダンスを公開している。連邦規制の枠組み下にある金融機関はすでに、ポスト量子対応状況を示すことを監督当局から求められ始めている。
2024年8月の FIPS 203・204・205 の最終化によって、「先延ばしの言い訳」はほぼ完全に消えた。2026年時点でまだポスト量子暗号の評価を開始していないブロックチェーンプロジェクトは、責任あるセキュリティ慣行の範囲外で運営されていると言わざるを得ない。
ブロックチェーン業界はここで奇妙な立場にある。一方では、多くの国家中央銀行を上回る価値を扱う金融システムであり、他方では、暗号アップグレードを強制する外部規制当局を持たない、ほぼ完全に自律したテクノロジーエコシステムでもある。
その組み合わせにより、NIST のタイムラインが持つ緊急性が、コミュニティのコンセンサスなしには行動につながりにくい状況を生んでいる。歴史的に見て、この種のコンセンサス形成は困難だ。
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
3. ビットコインには、直接露出したアドレスに約400万 BTC が存在する
すべての Bitcoin(BTC)が同じリスクを負っているわけではない。エクスポージャーは、資金の保管方法や、公開鍵がオンチェーンで公開されているかどうかに大きく依存する。研究者たちは、量子的リスクプロファイルが実質的に異なる3種類のビットコインアウトプットを特定している。
Pay-to-public-key(P2PK)アウトプットは、公開鍵をオンチェーンに直接さらす。
ここにはジェネシスブロックのコインや、初期のサトシ時代のアウトプットが含まれる。これに対し、まだ一度も使われていない P2PKH(pay-to-public-key-hash)アウトプットでは、公開鍵はハッシュの背後に隠されており、アドレスが送金に使われるまでは直接的な脆弱性にはならない。
しかし、一度でもトランザクション送信に使われたアドレスは、その公開鍵がネットワークにブロードキャストされており、恒久的に露出した状態になる。
Deloitte の研究者による 2022年の研究では、公開鍵が露出しているアドレスに約400万 BTC が保管されていると推定されている。
現在の価格水準では、約3,150億ドル相当のビットコインが、暗号的に関連する量子コンピューターが出現した時点で、オンチェーンデータから秘密鍵を直接導出され得るアドレスに置かれていることになる。事前の警告も救済手段もない。
アドレス再利用の慣行は、この問題を大きく増幅させる。
Chainalysis のデータは一貫して、多くのリテール投資家や機関投資家でさえ、複数のトランザクションで同じアドレスを再利用しており、その結果として公開鍵をオンチェーン上に恒久的にさらしてしまっていることを示している。
良いニュースとしては、「アドレスを一度きりしか使わない」という長年のベストプラクティスに従っているユーザーは、量子的なエクスポージャーを大きく減らせるという点が挙げられる。悪いニュースは、ネットワークの相当な割合が、このプラクティスに従っていないことがデータから明らかだということだ。
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
4. イーサリアムのアカウントモデルは構造的に異なるエクスポージャーを生む
Ethereum(ETH)は、ビットコインとは異なるアカウントベースのアーキテクチャを採用しているため、量子リスクプロファイルも明確に異なる。ビットコインの UTXO モデルとは構造が違うのだ。
イーサリアムでは、あらゆる外部所有アカウント(EOA)は、一度でも送金トランザクションに署名した瞬間、その公開鍵を露出する。つまり、これまでにトランザクションを送信したことのある実質すべてのアクティブなイーサリアムウォレットは、公開鍵が恒久的に露出していることになる。
イーサリアム財団は、量子問題について最も積極的に情報発信している主要ブロックチェーン組織のひとつだ。
イーサリアム共同創設者の Vitalik Buterin は、Ethereum Improvement Proposal 7560 の中でネイティブなアカウント抽象化への道筋を提案しており、これによりユーザーごとにハードフォークを強要することなく、ウォレットが量子耐性の署名スキームを利用できるようになるとされている。
彼の 2024年1月のブログ投稿「The Road to a Stateless Client」でも、ECDSA をポスト量子代替案に置き換えることはプロトコルのセキュリティロードマップにおける「中期的な優先事項」であると述べられている。
イーサリアムのアカウント抽象化ロードマップが実行されれば、ユーザーに大規模な手動作業を強いることなく、ポスト量子署名への比較的スムーズな移行が可能になるかもしれないが、実行タイムラインは依然として不透明であり、拘束力のある EIP もまだ確定していない。
課題は、EIP-7560 が実装されたとしても、既存の EOA は依然として資金をポスト量子スキームを使う新しいスマートコントラクトウォレットへ移行しなければならない点にある。
シードフレーズの復元手段を失ったホルダーや、長期間動いていない休眠アカウント上の資金については、量子脅威が顕在化する前に移行することが事実上不可能なケースも出てくるだろう。
Also Read: Binance.US Slashes Spot Trading Fees To Near Zero For All Users
5. 候補となるポスト量子アルゴリズムには、ブロックチェーン利用上のトレードオフが存在する
ECDSA の置き換えは、単純な「差し替え」で済む話ではない。NIST によって標準化されたポスト量子アルゴリズムは、性能やサイズ面で有意なペナルティを伴い、コンパクトなトランザクションデータを前提に最適化されてきたブロックチェーンシステムにとって現実的なエンジニアリング上の課題を生む。
NIST が標準化した主要な署名スキームである CRYSTALS-Dilithium(ML-DSA)は、最も低いセキュリティレベルでも 1,312バイトの公開鍵と 2,420バイトの署名を生成する。これを、公開鍵が33バイト(圧縮)、署名が約72バイトである ECDSA と比較してみてほしい。
ポスト量子署名のブロックチェーン応用を分析した IACR Cryptology ePrint Archive 掲載の論文では、ECDSA を単純に置き換えるだけでは… ディリチウム(Dilithium)を用いると、ビットコインのトランザクションサイズは約20倍に増加し、ブロック容量や手数料市場に深刻な影響を及ぼす可能性がある。
ビットコインのECDSA署名を、ブロックサイズを変えずにCRYSTALS-Dilithiumに置き換えた場合、有効なトランザクションスループットはおおよそ80〜90%低下する。そのため、ブロックサイズやブロック構造の変更を伴わない単純な置き換えは、経済的に大きな混乱を招く。
SPHINCS+(SLH-DSA)のようなハッシュベース署名は、(ハッシュ関数の安全性のみに依拠する)最も強固な安全性の仮定を提供するが、さらにサイズが大きく、最高のセキュリティレベルでは署名サイズが49,856バイトに達する。
格子ベースの方式は、現在のNIST標準の中でサイズと性能のバランスが最も優れているが、その安全性は、楕円曲線暗号の数十年にわたる暗号解析と比べると、より新しく、十分に実戦で検証されていない数学的困難性の仮定に依存している。
イーサリアムコミュニティは、既存のZK-STARKインフラへの投資を活用しつつ、ポスト量子時代のトランザクション認証への潜在的な道としてSTARKの活用も検討している。
Also Read: Mastercard Joins Blockchain Security Standards Council Alongside Coinbase And Fireblocks
**6. 「今は収集し、後で復号する」攻撃はすでに現実の懸念事項である
**
量子脅威の中で最も過小評価されている側面は、攻撃者が量子コンピュータの広範な普及を待つことなく、すでに攻撃準備を始められるという点である。
「今は収集し、後で復号する(harvest now, decrypt later:HNDL)」戦略は、現在の暗号化または署名付きデータを記録し、量子ハードウェアが十分な能力を持った時点で復号するというものであり、暗号資産以外の文脈では、すでに国家レベルで懸念が文書化されている。
米国家安全保障局(NSA)は、HNDL攻撃について特に警告するガイダンスを公表しており、敵対者が今後10年以内の復号を見据えて傍受した通信を積極的にアーカイブしていると指摘している。
ブロックチェーンシステムにおける類似状況は、さらに不安を誘う。ビットコインやイーサリアムでこれまでにブロードキャストされたすべてのトランザクションは、誰でもアクセス可能なパブリックレジャーに恒久的に記録されている。将来の量子攻撃のために公開鍵を収集しようとする主体は、すでに15年分のデータを利用できる。
これまでにブロードキャストされたあらゆるビットコインおよびイーサリアムのトランザクションは、恒久的な公開記録である。十分な動機を持つ攻撃者は、何年分もの公開鍵データをすでに収集済みである可能性が高い。「今は収集し、後で復号する」攻撃の収集フェーズは、暗号資産に関しては構造的にすでに完了している。
このダイナミクスは、たとえECDSAを破る能力を持つ量子コンピュータの登場が10〜15年先だとしても、ブロックチェーンコミュニティがその時点に近づくまで移行を待つことはできないことを意味する。
コンセンサス駆動のプロトコルアップグレード、ウォレットソフトウェアの更新、ユーザー教育、実際の資金移行には、数カ月ではなく数年単位のリードタイムが必要となる。
CISAは、複雑なシステムを抱える大規模組織において、ポスト量子への移行には5〜10年を要すると見積もっている。
Also Read: 35% Of European Investors Would Ditch Their Bank For Crypto Access
**7. すでに複数のブロックチェーンプロジェクトがポスト量子インフラを構築中
**
状況が一様に悲観的というわけではない。ポスト量子セキュリティを第一級の設計要件として扱うブロックチェーンプロジェクトの数は増加しており、それらのアプローチはレガシーチェーンにおける移行パスの予兆となっている。
2018年にローンチされたQRL(Quantum Resistant Ledger)は、拡張メルクリ署名方式(XMSS)というハッシュベース署名アルゴリズムを、ゼロから採用して構築された。XMSSは、NISTがSP 800-208として標準化している方式でもある。
Algorand(ALGO)は、ポスト量子への移行ロードマップを公開し、NISTの代替候補である格子ベース署名方式Falconに関する社内研究も実施している。
Cardano(ADA)のリサーチ部門であるIOHKは、IOHKリサーチライブラリを通じて、ポスト量子時代のブロックチェーンプロトコルに関する査読付き研究を発表している。
2026年時点で、少なくとも3つの本番稼働中のブロックチェーンネットワーク(QRL、Algorand、Cardano (ADA))が、具体的なポスト量子研究またはロードマップを公開している。一方で、ビットコインとイーサリアムは、拘束力のあるプロトコル上のコミットメントがない初期段階の議論フェーズにとどまっている。
イーサリアムエコシステムは、ZKロールアップ向けのSTARKベース証明システムへのこれまでの多大な投資の恩恵を受けている。
StarkWare(STRK)のようなプロジェクトは、ハッシュ関数の安全性のみに依存することで量子耐性を持つSTARK証明が、大規模なトランザクション妥当性証明に利用可能であることを示している。これがベースレイヤーのイーサリアムにおける量子耐性のあるトランザクション認証に直結するかどうかは、別個の未解決の問題だが、そのインフラ投資が無駄になるわけではない。
Also Read: DeFi TVL Crashes $13B In 48 Hours After KelpDAO Exploit
**8. ビットコインコミュニティは前例のないガバナンス上のジレンマに直面している
**
ビットコインのポスト量子暗号への移行は、主として技術的な問題ではない。ガバナンスの問題である。ビットコインプロトコルは、開発者・マイナー・事業者・ユーザーの間のラフコンセンサスによってのみ変更されてきたが、このプロセスは、非論争的なアップグレードですら数年を要し、論争的な変更ではチェーン分岐を引き起こしてきた。
Bitcoin Core開発コミュニティは、ポスト量子アプローチについて予備的な議論を開始している。2024年のBitcoin開発者メーリングリストのディスカッションスレッドでは、Segregated Witnessが新たなトランザクションタイプを導入したのと類似の手法で、ソフトフォークを通じて新しいポスト量子署名タイプを導入する可能性が検討された。
根本的な課題は、いかなるポスト量子署名方式も、ハードフォーク(ビットコインコミュニティが歴史的に拒否してきた)か、既存のECDSAウォレットとの後方互換性を維持しつつ新たな量子耐性アウトプットを許容する、慎重に設計されたソフトフォークのいずれかを必要とする点にある。
専門家が今後5年以内に着手する必要があると考える暗号移行の緊急性と、グローバルに分散し思想的にも多様なコミュニティ全体のラフコンセンサスを必要とするビットコインのガバナンスモデルは、構造的に相容れない可能性がある。
ビットコインのポスト量子計画で最も論争的な要素は、移行に失敗したコインの扱いである。量子コンピュータがECDSAを破る能力を持つようになれば、公開済みアドレスにあるコインは盗難に対して脆弱になる。
一部の研究者は、量子装備した攻撃者による盗難を防ぐため、移行期限後にP2PKアウトプットのコインを凍結またはバーンするプロトコルルールを提案している。
これは、移行しなかった保有者のコイン、潜在的にはサトシ・ナカモトが保有すると推定される110万BTCも含めて、事実上没収することを意味し、ビットコインコミュニティ内部では政治的に極めて扱いが難しい案と見なされている。
Also Read: Volo Protocol Bleeds $3.5M In Sui Vault Raid Amid DeFi Carnage
**9. 量子ハードウェアのタイムラインはコンセンサス推計よりも速いペースで加速している
**
量子ハードウェアの能力を予測することは本質的に難しく、ブロックチェーンコミュニティは、しばしばこのタイムラインの不確実性を無行動の理由として用いてきた。しかし、過去3年間の実際のハードウェアのマイルストーンの軌跡を見ると、もはや安穏としてはいられない。
Googleは2024年12月、Willow量子プロセッサがフォールトトレラントな量子計算に必要とされる閾値未満のエラーレートを達成したと発表した。これは研究者たちが数年先と見積もっていたマイルストーンである。
Willowは、105個の物理キュービットにおいて閾値未満のエラーレートを実現し、キュービットを追加しても誤りが累積せず、指数関数的に減少していくことを示した。これは量子誤り訂正における決定的な課題を克服したことを意味する。
IBMの量子ロードマップは、2033年までに10万個の物理キュービット到達を目標として掲げており、同社は2020年以降、ロードマップ上の年間マイルストーンを一貫して達成または上回っている。
GoogleのWillowチップは、2024年12月に多くの専門家の予測より数年早く、閾値未満の誤り訂正を実現した。ビットコインのECDSAを破るために必要と推定される3億1,700万キュービットと現在の105キュービットとの間には大きな隔たりがあるものの、この誤り訂正のブレークスルーによって、スケーリングにおける最も根本的な障壁は取り除かれた。
重要な区別は、物理キュービットと論理キュービットの違いである。ビットコインのECDSAを破るには、ショアのアルゴリズムを安定的に実行可能な論理キュービットが必要であり、各論理キュービットには誤り訂正のために数百〜数千の物理キュービットが必要となる。
サセックス大学による3億1,700万物理キュービットという推計は、現在の誤り訂正オーバーヘッドを前提としている。エラーレートが大幅に向上すれば、必要な物理キュービット数は比例して減少する。
2023年のランド研究所レポートで引用された学術研究者のコンセンサスは、「暗号的に意味のある」量子コンピュータの登場はおおむね10〜20年先であるというものだが、不確実性の幅は大きく、2030年までのブレークスルーを完全に排除することはできない。
Also Read: CHIP Volume Now Outpaces Market Cap As Traders Pile In
**10. 暗号資産保有者が今すぐ量子リスクを軽減するためにできること
**
個人保有者および機関投資家にとって参加者にとって、量子の脅威はパニックの理由ではなく、情報に基づいた主体的なセキュリティ衛生を徹底する理由である。プロトコルレベルの耐量子アップグレードが展開される前であっても、いくつかの具体的な行動によってリスク曝露を有意に減らすことができる。
もっともインパクトの大きい個人レベルの対策は、アドレスの再利用をやめること、そして P2PK 出力および過去に署名に使用したアドレスから資金を移すことである。
ビットコインを、送金に一度も使われていない新規の P2WPKH(ネイティブ SegWit)アドレスに移動させると、公的鍵は SHA-256 と RIPEMD-160 のハッシュの背後に隠され、近い将来における意味のある防御を提供する。
2022年に IACR ePrint Archive 上で published された分析では、ハッシュ化されていない公開鍵こそが、ビットコイン保有者にとって最も差し迫った量子攻撃面であることが確認された。
イーサリアム利用者にとっては、将来ポスト量子署名スキームが利用可能になった際にアップグレード可能な ERC-4337 アカウント抽象ウォレットへ移行しておくことが、今後のプロトコル移行に有利なポジション取りとなる。
ビットコインを、送金トランザクションの署名に一度も使われていない全く新しいネイティブ SegWit アドレスに移動させることで、公開鍵は隠され、今後10年以内に現実化しうる量子脅威に対して意味のある保護が得られる。
機関投資家は、さらに追加の責務を負っている。
Electric Capital のデベロッパーレポートでは一貫して、暗号資産ネイティブ企業のセキュリティインフラチームは、運用資産額に対して、伝統的金融機関に比べて小規模であることが finds されている。
社内の暗号資産インベントリを構築し、どのカストディソリューションが ECDSA を使い、どれが代替方式を使っているのかを把握し、ハードウェアウォレットの製造元とポスト量子対応ロードマップについて議論することは、今日すでに実行可能で正当化しうるリスク管理ステップである。
Ledger や Trezor を含むハードウェアウォレットメーカーは、公的なドキュメントの中で量子の脅威を acknowledged しているが、本番ファームウェアでポスト量子署名のサポートを出荷するには至っていない。
続きを読む: BTC、出来高急増で11週間ぶりに初めて79,000ドルを突破
結論
ポスト量子暗号は、ブロックチェーン業界にとって遠い将来の理論的懸念ではない。すでに規制のタイムリミットが動き始めており、専門家の想定を繰り返し上回ってきたハードウェアの進歩軌道を背景にした、現実のエンジニアリングおよびガバナンス上の課題である。
2024年8月に最終化された NIST 規格は、世界有数の暗号研究機関から発せられた「移行は任意ではなく、計画を始めるべき時は今である」という最も明確なシグナルを示している。
根本的な緊張関係は構造的なものだ。ビットコインとイーサリアムはそれぞれ 2008年と2015年の脅威モデルを前提に設計されており、暗号基盤をアップグレードするには、月単位ではなく年単位でしか動かないガバナンスプロセスを乗り越えなければならない。
曝露されたアドレスに存在する400万 BTC、これまでにブロードキャストされたあらゆるトランザクションの恒久的な公開記録、そして加速する量子ハードウェア開発のペースは、いずれも秩序立った移行のための時間的な余裕が狭まりつつあることを示している。
今日からポスト量子標準に真剣に向き合い、社内の専門性を構築し、プロトコルの議論に参加し、保有資産をリスク低減構成へと移していくプロジェクトは、確実性が得られるまで行動を先送りするプロジェクトよりも、はるかに良いポジションを取ることになる。
従来コンピューティングにおける暗号アルゴリズム移行の歴史は、警鐘となる教訓を与えている。MD5 から SHA-2 への移行、あるいは RSA-1024 から RSA-2048 への移行でさえ、強力な規制圧力があり、ガバナンス上の対立もなかったにもかかわらず、業界全体の粘り強い取り組みによって数年を要した。
ブロックチェーンの分散型ガバナンスモデルは、同等の移行を一桁レベルで難しくする。
自らを「自分自身の銀行」と称してきたこの業界は、今や「自分自身の暗号標準化機関」であることも証明しなければならない。そして、ハードウェアが追いついてしまう前にそれを成し遂げる必要がある。
Read Next: Elon Musk's SpaceX Pursues $60B Cursor Buy As AI Push Accelerates