Quantum computing は、暗号資産業界にとってもはや理論上の懸念ではない。
IBM、Google、Microsoft によるハードウェア開発の加速、米国標準技術研究所(NIST)が2024年8月にポスト量子暗号標準を確定したこと、そして主要ブロックチェーン全体で移行計画がほぼ欠如していることが重なり、四半期ごとに拡大する複合的なセキュリティギャップが生まれている。
危険性は抽象的ではなく、具体的かつ定量的だ。ビットコイン (BTC) だけで、2026年4月23日時点の時価総額は約1.56兆ドルに達している。学術研究の推計によれば、流通しているBTCの25〜40%が、すでにオンチェーンで公開鍵が露出したアドレスに存在しており、十分に強力な量子マシンが登場すれば、理論上これらのコインは攻撃可能になる。
TL;DR
- NISTは2024年8月に3つのポスト量子暗号標準を確定し、古典的な暗号方式からの移行は「将来」ではなく「今すぐ」の優先事項だと正式に示した。
- ビットコイン、イーサリアムを含むほとんどの主要ブロックチェーンは、十分に強力な量子コンピュータに破られうる楕円曲線暗号に依存しており、オンチェーンにある数兆ドル規模の価値をさらしている。
- 信頼性のある「今収集し、後で復号する(harvest now, decrypt later)」戦略により、敵対者はすでに暗号化済みブロックチェーンデータを収集し、量子ハードウェアの成熟後に復号することを見据えている可能性がある。
暗号資産を支える暗号基盤は、すでに既知の負債となっている
ほぼすべての主要暗号資産は、量子コンピューティングが直接脅かす2つの暗号プリミティブに依存している。1つ目は 楕円曲線デジタル署名アルゴリズム(ECDSA)で、ビットコインや イーサリアム (ETH)、多数の派生チェーンにおけるトランザクション署名を保護している。2つ目は、ビットコインのプルーフ・オブ・ワークとアドレス生成に用いられる SHA-256 ハッシュ関数だ。これらはいずれも、査読付き論文で量子攻撃ベクトルが詳細に分析されている。
サセックス大学の Mark Webber らによる2022年の画期的な論文では、約317個の論理量子ビットを備える量子コンピュータがあれば、1件のビットコイン取引を1時間以内に破ることができ、ビットコインの10分ブロック間隔内に同様の攻撃を行うには約1,300万の論理量子ビットが必要だと推定している。
この目標は現行ハードウェアの能力を超えてはいるが、量子ビット数の伸びを見れば決して「遠い未来」とは言い難い。
Webber らによる「1時間以内にECDSAを破るのに必要な論理量子ビット317個」という推計は、現在のスケーリングロードマップを前提にすれば、今世紀中に十分達成可能なハードウェア要件として脅威を位置づけている。
1994年に発見された Shorのアルゴリズム は、ECDSAに対する量子脅威の理論的な原動力であり続けている。これにより、古典計算では指数時間を要する離散対数問題を、量子コンピュータ上で多項式時間で解けるようになる。理論上の脆弱性と実用的な攻撃可能性のギャップは、ハードウェアベンダーによる量子ビット数の更新が発表されるたびに縮まっている。この問題を「遠い将来の懸念」と見なす投資家は、すでに規制当局や標準化機関が正式に認識している構造的リスクを誤評価している。
Also Read: BTC Tops $79,000 For First Time In 11 Weeks As Volume Surges
NISTのポスト量子標準は、規制面でのスタート合図
2024年8月13日、NIST は初のポスト量子暗号標準3件を公表した。FIPS 203(ML-KEM、旧CRYSTALS-Kyber)、FIPS 204(ML-DSA、旧CRYSTALS-Dilithium)、FIPS 205(SLH-DSA、旧SPHINCS+)である。
併せて公開されたリリース文では、NISTは組織に対し、さらなる標準の策定を待つのではなく、直ちに移行を開始するよう明示的に求めている。
これは極めて重要な規制上のシグナルである。NIST標準は、米国の金融インフラ全般において事実上のコンプライアンス基準となっており、サイバーセキュリティ・インフラセキュリティ庁(CISA)を含む複数の機関が、その後指針を発出し、重要インフラ事業者に暗号資産インベントリの評価を指示している。
暗号資産インフラは広義には複数の法域で重要な金融インフラに該当するにもかかわらず、主要なレイヤー1ブロックチェーンはいずれも、これに対応する拘束力ある移行タイムラインを公表していない。
NISTが2024年8月に出した「直ちに移行せよ」という指示は、ポスト量子暗号がもはや将来の研究テーマではなく、現在進行形のオペレーション課題であることを示す、これまでで最も明確な公式シグナルだ。
確定した3つの標準はいずれも、古典計算機と量子計算機の両方に対して計算困難と信じられている数学的問題に基づいている。ML-KEMはモジュール誤差学習問題(MLWE)に基づき、ML-DSAとSLH-DSAはそれぞれ格子ベース、ハッシュベースの方式だ。その後、4つ目の標準であるFALCON(現 FN-DSA、FIPS 206)も最終化された。こうした公表に対し、ブロックチェーン業界がほぼ沈黙を保っていることは、少なくともガバナンスの失敗であり、最悪の場合、資産保有者に対する重大なリスクと言える。
Also Read: Ethereum Nears $2,450 Showdown As Bulls And Bears Split On Next Move
3. 「今収集し、後で復号する」脅威はすでに進行中
量子脅威ベクトルの中でも過小評価されがちなものの1つは、現時点で高度な量子ハードウェアを必要としない。「harvest now, decrypt later(HNDL)」として知られる戦略では、敵対者が今、暗号化データや署名付きトランザクションを収集・保存しておき、量子ハードウェアが成熟した段階で復号することを狙う。パブリックかつ不変性を設計思想とするブロックチェーンネットワークにとって、HNDLは仮説ではない。
ビットコインやイーサリアムで一度でもブロードキャストされたトランザクションは、世界中の数千ノードに恒久的に保存される。国家レベルのアクターを含むあらゆる組織が、極めて低コストで全履歴をアーカイブ可能だ。グローバルリスク研究所が2023年に発表した論文では、既存の暗号を破る「量子的に関連する」マシンが2030年までに存在する確率を17%、2034年までには50%と評価している。
不変なオンチェーン記録を持つ資産にとって、これらの確率は決して小さくない。
グローバルリスク研究所の2023年のタイムラインでは、2034年までに暗号的に関連する量子コンピュータが出現する確率を50%と見積もっており、これは現在の多くの保有者の投資期間の範囲内に収まる。
ブロックチェーン文脈でのHNDLにおける具体的な懸念は、主として過去トランザクションそのものではない。というのも、確定したビットコイントランザクションは、すでに公開鍵と送金額を明らかにしているからだ。
より深刻なのは、アドレスの再利用、公開鍵が露出しているマルチシグスキーム、そして、攻撃者が取得済み公開鍵から将来 private key を導出し、ウォレットを空にできるあらゆる仕組みである。多くのウォレットUX実装ではアドレス再利用が前提となっているため、公開済みアドレスの規模は相当大きい。
Also Read: 26 Trojan Crypto Wallet Apps Infiltrated Apple's App Store, Kaspersky Warns
どれだけ多くのビットコインアドレスがすでに露出しているのか
ビットコインにおける量子脆弱性の具体的な攻撃面は、オンチェーン分析により定量化できる。Deloitte Netherlands の研究者による2023年の arXiv 論文では、当時流通していたコインの約25%に相当する約400万BTCが、Pay-to-Public-Key(P2PK)アドレス、または公開鍵がすでにオンチェーンで露出した再利用Pay-to-Public-Key-Hash(P2PKH)アドレスに保管されていたことが判明している。
P2PK形式は、サトシ・ナカモト が採掘した初期ビットコイン出力を含め、scriptPubKey内に公開鍵全体を直接保存する。このため、量子攻撃者はECDSA鍵に対してShorのアルゴリズムを実行するための入力をそのまま得ることができる。
再利用されたP2PKHアドレスでは、所有者が一度でも支出すれば公開鍵が露出する。多くのビットコインユーザーが、ウォレットのUX上の不備によりアドレス再利用を習慣的に行ってきたため、こうしたアドレスは大量に存在する。
Deloitte が2023年に行ったオンチェーン分析では、公開鍵が直接露出しているアドレス形式に約400万BTCが保管されていることが特定されており、これはビットコインネットワークにおける量子的に最も即時的な攻撃面を構成する。
イーサリアムにおける攻撃面も同様に大きい。少なくとも1回トランザクションを送ったことのあるイーサリアムウォレットは、定義上、公開鍵を露出している。イーサリアム財団は、公的なロードマップ上の「future-proofing」セクションで、量子脆弱性を認め、ポスト量子移行を長期目標として掲げているものの、具体的なタイムラインやテストネット実装は示していない。数千億ドル規模のユーザー資産を預かるネットワークとして、「長期目標」という姿勢は、「2034年までに50%」という確率曲線に対して不十分だ。
Also Read: Bitmine Surpasses 4% Of Circulating ETH As Accumulation Continues
量子ハードウェアのマイルストーンがタイムラインを圧縮している
量子コンピューティングからの理論的脅威は、Shorが論文を公表した1994年から存在していた。ここ24カ月で変化したのはハードウェア開発のスピードであり、理論的能力と実用的な展開とのギャップを縮めつつある点だ。これは、タイムラインの重大な見直しを要する。 published された研究結果では、70キュービットのシステムが、初めて「しきい値未満」のエラー訂正を達成したと報告されており、これは大規模にショアのアルゴリズムを実行するために必要な論理キュービット数を実現する上で、極めて重要な前提条件である。
2024年11月、Google は Willow 量子チップを announced し、古典的なスーパーコンピューターなら 10 セプティリオン年かかる特定のベンチマーク計算を 5 分未満で実行したと主張した。
IBM の現在のロードマップは、その quantum development site で公開されており、2033 年までに数千個の論理キュービットを備えた「ユーティリティ規模」の量子コンピューターの実現を目標としている。
2024年11月の Google による Willow チップ発表と、2033 年までに数千個の論理キュービットを目指す IBM の公開ロードマップは、「量子の脅威」を「数十年先」から「現在の10年以内」へと近づける、具体的なハードウェア上のマイルストーンを示している。
Microsoft は Azure Quantum research division を通じて発表したトポロジカル・キュービットによるアプローチを採用しており、現在の超伝導キュービット方式よりも桁違いに低いエラー率を達成することを目指している。これにより、暗号的に意味のある規模のマシンに到達するまでの道のりが加速する可能性がある。ただし、単一のハードウェア発表だけで、脅威が差し迫っていることの決定的な証拠にはならない。
しかし、複数の独立した研究プログラム全体にわたる進歩のペースを総合的に見ると、2023年以前に書かれた多くのブロックチェーン・ガバナンス文書に埋め込まれているベースラインの想定よりも、実際の進展は明らかに速い。
Also Read: TRON Connects $85B USDT Network To LI.FI In Cross-Chain DeFi Push
The Migration Problem Is Technically and Politically Hard
たとえブロックチェーン業界が、今日ただちにポスト量子暗号への移行を決定したとしても、技術面およびガバナンス面での課題は極めて大きい。主要ネットワークの中で最も分散化が進んだ Bitcoin は、この問題の最も厳しいバージョンに直面している。
Bitcoin の署名スキームを変更するには、ソフトフォークまたはハードフォークが必要であり、これにはマイナー、ノード運営者、ウォレット開発者、取引所などの間で圧倒的多数の合意を得なければならない。こうした合意形成は、はるかに単純なアップグレードであっても、歴史的に達成までに数年を要してきた。
2017年の SegWit(セグウィット)有効化は、比較的軽微な構造変更にすぎなかったにもかかわらず、95% のマイナー・シグナリング閾値を達成するまでに、激しい議論を伴う 2 年超の期間を要した。署名スキームの移行は、それとは質的に異なるほど破壊的であり、エコシステム全体のあらゆるウォレット、取引所のホットウォレット、ハードウェアウォレットのファームウェア、カスタムのカストディ・ソリューションにまで影響が及ぶ。
IETF Crypto Forum Research Group の研究者による 2021 年の論文は、ECDSA がインターネット・インフラ全体に深く構造的に統合されている点を noted し、この移行を「歴史上最も複雑な暗号移行のひとつ」と位置付けている。
SegWit の前例は、Bitcoin のガバナンスが「年単位」で動くことを示しており、まだ開始されていないポスト量子移行は、量子の脅威が到来する前に完了しない可能性があることを意味している。
Ethereum のアカウントベースのモデルは、わずかに柔軟性が高い。Ethereum Foundation のポスト量子ロードマップには、「量子耐性を持つ account abstraction」の概念が含まれており、既存アカウント用にベースレイヤーのハードフォークを行わなくても、ウォレット側で新しい署名スキームに移行できるようにするという構想がある。
しかしこの手法を用いるには、すべてのユーザーが自分自身のウォレットを能動的に移行する必要がある。また、過去の Ethereum アップグレードにおける参加状況データは、強制的な廃止メカニズムがない限り、非アクティブなユーザーは一貫して破壊的変更を採用しない傾向にあることを shows いている。
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
Post-Quantum Blockchains Are Being Built, but Remain Niche
ポスト量子暗号の脅威を真剣に受け止め、その対策を最初からベースレイヤーに組み込んだブロックチェーン・プロジェクトは少数ながら存在する。これらのプロジェクトは依然としてニッチな存在だが、「量子耐性を持つブロックチェーン」が技術的には実現可能であることを示す、業界最も明確な実証例となっている。
QRL (Quantum Resistant Ledger) は 2018 年にローンチされた、eXtended Merkle Signature Scheme(XMSS)というハッシュベースの署名アルゴリズムを用いた初のプロダクション・ブロックチェーンであり、NIST の評価プロセスにも含まれている。QRL プロトコルは、いかなるレイヤーにおいても楕円曲線暗号を使用しない。IOTA は、現在の Rebased アーキテクチャのもとで、Ed448 や格子ベース構成などのポスト量子署名スキームを取り入れる方向へ移行 している。Algorand は、ポスト量子ステートプルーフに関する research を公開し、暗号ツールキットの中に Falcon ベースの署名オプションを組み込んでいる。
QRL の 2018 年メインネットローンチは、ハッシュベース署名のみを用いたプロダクション・ブロックチェーンが実際に成立しうることを示したが、時価総額が 1 億ドル未満にとどまっている事実は、「技術的健全性」と「市場での採用」との間に存在する大きなギャップを浮き彫りにしている。
これらのプロジェクトにとっての課題は、技術的な信頼性ではなくネットワーク効果である。Bitcoin と Ethereum が支配的であるのは、流動性、開発者エコシステム、機関向けカストディ・インフラ、規制上の馴染み深さといった要素によるものであり、量子安全だが流動性の乏しいチェーンがこれらを簡単に再現できるわけではない。エコシステム全体にとって、より現実的な移行経路は、既存チェーンにポスト量子署名オプションを後付けすることであり、そのために NIST FIPS 204(ML-DSA)といったプロジェクトが明示的に設計されている。問題は、その後付けを実行するための政治的意思が、ハードウェア側の脅威が到来する前に生まれるかどうかである。
Also Read: PENGU Token Gains 5.7% As Pudgy Penguins Expands Beyond NFTs
Exchange and Custodial Infrastructure Faces Distinct Quantum Risks
量子リスクにさらされているのはリテール保有者だけではない。中央集権型取引所や機関投資家向けカストディ事業者も、個人ウォレットと同じ ECDSA インフラの上にセキュリティモデルを構築しているが、価値の集中度が桁違いに高い分、ある意味ではより深刻な形で同種の脅威に直面している。
Bitcoin や Ethereum で数十億ドル規模のホットウォレット残高を持つ大手取引所は、運用上の必然として、トランザクション署名のために秘密鍵を自動化システムからアクセス可能な状態に保たねばならない。これらの秘密鍵は、ハードウェアセキュリティモジュール(HSM)や、古典暗号を前提とした鍵管理システムに保存されており、ポスト量子時代には格好の攻撃対象となる。Chainalysis のデータは、取引所ハックによる累積損失が 2012 年以降で 100 億ドルを超えることを shown しており、これらの攻撃はいずれも量子コンピューターを使わずに実行されている。ここに量子計算による鍵復元が脅威モデルとして加わると、カストディのセキュリティ問題は飛躍的に難度が増す。
Chainalysis のデータは、2012 年以降の取引所ハックによる損失が、純粋に古典的な攻撃手法のみで 100 億ドル超に達していることを示しており、量子による鍵復元が加われば、この既存のカストディ脆弱性が劇的に悪化することを示唆している。
Thales、AWS CloudHSM、Entrust など、機関投資家向け暗号カストディを支える HSM ベンダーは、ポスト量子移行の必要性を認識している。NIST の移行ガイダンスも、HSM の更新タイムラインを明示的に対象としている。しかし、数百万人の顧客ウォレットを抱えるグローバル取引所全体で鍵管理インフラをローテーションする運用上の複雑さは、いまだいかなる大手取引所も公にコミットしておらず、またスケジュールも開示していない。量子対応に関する規制上の開示義務が存在しないため、投資家は公開資料からカストディの量子リスクを評価する術を持たない。
Also Read: They Bet On Their Own Elections, Kalshi Just Handed Them 5-Year Bans
Nation-State Actors and the Geopolitical Dimension of Quantum Crypto Attacks
暗号資産に対する量子の脅威は、純粋な技術問題にとどまらない。投資家や政策アナリストが公の議論でほとんど無視してきた地政学的な側面も持っている。とりわけ中国と米国、そして程度はやや劣るもののロシアや欧州連合といった国家の量子プログラムは、民間セクターの研究をはるかに上回る規模で資金提供を受けており、その能力は機密扱いとなっている。
中国の国家量子コンピューティング計画は、第14次五カ年計画(2021〜2025年)およびその後継計画に明文化されており、量子研究への国家投資は、ジョージタウン大学の Center for Security and Emerging Technology による reported によれば、同期間で 150 億ドルを超えるとされる。PBoC(中国人民銀行) の研究部門自体も、金融暗号に対する量子攻撃タイムラインについて論文を発表している。もし機密扱いの量子プログラムが、公表されている学術プロジェクトに先行して暗号的な有効性を獲得した場合、その最初の兆候は、量子攻撃にさらされた Bitcoin アドレスからの静かな資金流出という形で現れるかもしれない。この事象は、フォレンジック分析によって攻撃ベクターが特定されるまでは、高度な古典的ハックと見分けがつかないだろう。
ジョージタウン大学の CSET は、中国の国家量子投資が単一の五カ年計画サイクルで 150 億ドルを超えていることを記録しており、この資金規模は、公知の学術的タイムラインを先行する機密能力を生み出しうる。
米国政府機関は、この脅威への対応において、民間の暗号資産セクターよりも素早く動いてきた。Office of Management and Budget(OMB、行政管理予算局)はissued された 2022年11月の通達メモランダム M-23-02 は、すべての連邦政府機関に対して 2023年までの暗号資産インベントリ完了と移行計画の開始を指示している。国家安全保障局(NSA) は、国家安全保障システム向けのポスト量子移行ガイダンスを published している。政府の対応の切迫度と、民間の暗号インフラの自足的な姿勢とのギャップは際立っており、重く受け止めるべきだ。
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
信頼に足る業界対応の姿と、その実現までの距離
ブロックチェーン業界において、責任ある量子移行計画がどのようなものかをマッピングすると、現在地と十分な備えとの距離が具体的に見えてくる。NIST のガイダンス、学術研究、類似インフラ移行のタイムラインに基づけば、信頼に足る対応には、おおよそ 8〜10年をかけて完了させるべき 5 つの明確なフェーズが必要になる。
フェーズ1は暗号の監査である。すべてのプロトコルチーム、取引所、カストディアンは、使用しているあらゆる暗号プリミティブ、その鍵長、公開鍵の露出状況、変更を要するシステムの依存関係グラフを網羅的にカタログ化しなければならない。フェーズ2はポスト量子アルゴリズムの選定であり、ユースケースごとの性能とセキュリティのトレードオフに応じて、ML-DSA、SLH-DSA、FN-DSA のいずれかを選ぶことになる。利用しやすい学術的な比較は 2022年に IACR Cryptology ePrint Archive の研究者によって published されており、NIST 最終候補アルゴリズム間のベンチマークを提供している。フェーズ3はテストネットおよびステージング環境でのデプロイ、フェーズ4はメインネットでの協調した稼働開始、フェーズ5は長期にわたるユーザー移行、とりわけ公開鍵が露出したアドレス形式を持つチェーンにおける移行である。
IACR による 2022年のベンチマーク研究は、ポスト量子最終候補アルゴリズム間の具体的な性能比較を提示しており、プロトコルチームはさらなる標準化を待たずとも、今日アルゴリズム選定の判断を下すために必要なデータを得ることができる。
Bitcoin のコア開発コミュニティは、関連する Bitcoin Improvement Proposal を 2件提示している。BIP-360 は Hunter Beast とその協力者によって 2024年末に提案され、CRYSTALS-Dilithium をデフォルト署名スキームとして用いる Pay to Quantum Resistant Hash(P2QRH)アドレス形式を概説している。
2026年4月時点で、BIP-360 は依然としてドラフトの状態であり、アクティベーションメカニズムも提案されていない。Ethereum のポスト量子ロードマップは Ethereum Foundation の roadmap page に公開されており、長期的な解決策として Winternitz One-Time Signatures や STARK ベースの認証の必要性を認めてはいるが、これらを現在のロードマップ枠組みの中で最も優先度の低い「splurge」カテゴリに分類している。
第5節で示したハードウェアのタイムラインを踏まえれば、この優先度付けは強く異議を唱えられて然るべきだ。
Read Next: 35% Of European Investors Would Ditch Their Bank For Crypto Access
結論
暗号資産に対する量子コンピューティングの脅威は現実であり、文書化されており、業界がまだ十分に内在化できていないタイムラインで前進している。
NIST は 2024年8月にポスト量子標準を確定し、即時の移行を指示した。各国の量子プログラムには、公的な学術ベンチマークを先行する機密能力を生み出す水準の予算が投じられている。流通している Bitcoin のうち 25〜40% が、公開鍵がすでにオンチェーンで露出し収集可能なアドレスに置かれていると推定される。これらはいずれも憶測ではない。すべて引用可能で定量化され、プロトコルチーム、取引所のコンプライアンス部門、機関投資家向けカストディプロバイダが読む時間を十分に持っていた一次資料として入手できる。
業界に欠けているのは情報ではなく、切迫感である。このパターンは、他の進行の遅いセキュリティ危機でも見られた。
組織は、大規模なインシデントに追い込まれるか、あるいは規制上の期限によって移行を余儀なくされるまで、脆弱なシステムから離れようとしない。
量子のケースでは、国家主体が機密扱いの量子マシンを用いて露出した Bitcoin アドレスを静かに吸い上げるという壊滅的インシデントが、予兆もなく訪れ、実害が拡大する前に協調した対応を引き起こすだけのフォレンジックな明瞭さも残さない可能性がある。
Bitcoin と Ethereum のガバナンス構造は、危機対応スピードでの合意形成に向けて設計されておらず、それゆえ、たとえハードウェア上の脅威がまだ顕在化していないとしても、秩序だった移行のために残された時間的余裕は狭まりつつある。
この分析が示す建設的な含意は、量子移行が真の研究開発機会を生み出しているということだ。ポスト量子署名の統合に最初に踏み出すプロトコルチーム、量子対応状況の透明なロードマップを公表する取引所、規制要件に先行して HSM インフラをアップグレードするカストディアンは、脅威が無視できない段階に達したとき、実質的により強い競争的ポジションを占めることになる。研究は完了している。標準も公表されている。残るはガバナンスの作業であり、それは今すぐにでも始めなければならない。