量子コンピューティングは結局何を脅かすのか？ポスト量子時代に向けたCryptoユーザーガイド

先週、Google Quantum AIチームは画期的な論文を発表し、超伝導アーキテクチャ、特定のエラー訂正、およびハードウェアの仮定の下で、将来の量子コンピューターが50万個未満の物理量子ビットを使用して、現在の暗号通貨やブロックチェーンで広く採用されている256ビット楕円曲線暗号（ECDLP-256）を数分で解読できる可能性があると指摘しました。必要な量子ビット数は以前の推定よりも約20倍減少しています。

これは、ビットコインやイーサリアムなど、ほぼすべての主要なパブリックチェーンの署名スキームの中核であるECDSAに直接関連しています。このニュースが流れると、「量子コンピューターがビットコインの秘密鍵を解読する」という話がネット上で広まり始めました。

実際のところ、まずは冷静になり、この問題を明確に説明する必要があります。脅威は現実的ですが、「明日あなたのウォレットが安全でなくなる」という状態にはまだほど遠いのです。

さらに重要なのは、業界全体が実はとっくに行動を開始していることです。

一、量子コンピューティングは結局何を脅かしているのか？

この問題を理解するために、まず最も基本的なところから話を始めましょう。あなたのCrypto資産は、いったいどのように保護されているのでしょうか？

周知の通り、ビットコインやイーサリアムでは、各アカウントの背後に一組の鍵があります：秘密鍵と公開鍵です。秘密鍵はランダムに生成された大きな数値の列であり、極めて機密性が高く、あなたの金庫のパスワードに相当します。公開鍵は、楕円曲線乗算を用いて秘密鍵から導出されます。あなたのウォレットアドレスは、公開鍵をさらにハッシュ関数で圧縮して得られる文字列です。

このシステムのセキュリティの基礎は、まさにこのプロセスが一方向であることにあります。

結局のところ、秘密鍵から公開鍵を計算するのは簡単ですが、公開鍵から秘密鍵を逆算するには、従来のコンピューターでは宇宙の年齢を超える時間がかかります。これが「楕円曲線離散対数問題」（ECDLP）の本質です——順方向の計算は簡単ですが、逆方向の解読は不可能です。

しかし、量子コンピューターはこの前提を打ち破ります。それは多項式時間内で整数因数分解と離散対数問題を解決できます。言い換えれば、十分に強力な量子コンピューターは、理論上、あなたの公開鍵から秘密鍵を逆算することができるのです。

では問題は、公開鍵はいつ露出するのでしょうか？

あなたがブロックチェーンにトランザクションを送信するたびに、トランザクションデータに秘密鍵で署名し、同時に検証のために公開鍵をブロードキャストする必要があります。これは、一度でもトランザクションを送信したことがあれば、あなたの公開鍵はすでにチェーン上で公開されていることを意味します。

Googleのこの論文の意義は、まさに「公開鍵から秘密鍵を解読する」ということを、理論的には可能だが荒唐無稽なものから、量子ハードウェアのロードマップ上で計画可能な目標へと前進させた点にあります。例えば、論文の推定によれば、256ビットECDLPを解読するには約50万個の物理量子ビットを持つフォールトトレラント量子コンピューターが必要で、以前の推定よりも大幅に低減されています。

結局のところ、量子コンピューティングはブロックチェーン自体を解読しているわけではありません。それはまず、ブロックチェーン内で依然として楕円曲線離散対数問題に基づいて構築されている署名システムを狙っているのです。

したがって、脅威は現実に存在しますが、厳密に言えば「差し迫っている」という表現は正確ではありません。業界の主流の見積もりが示す猶予期間は、最も早くても2030年前後です（関連記事《ネイティブアカウント抽象化 + 量子耐性脅威：EIP-8141はなぜイーサリアムHegotáの看板になっていないのか？》）。

二、各パブリックチェーンはどのような準備をしているのか？

もちろん、客観的に言えば、ここには重要な違いがあります。多くの報道が明確に説明していない点ですが、多くのビットコインアドレスは、最初から直接公開鍵をチェーン上に露出させるわけではないということです。

P2PKH、P2WPKHなどの一般的な形式を例にとると、アドレス自体は通常、公開鍵のハッシュに過ぎず、公開鍵は「最初の支出時」に初めて露出することが多いです。これは、あなたのアドレスが一度もトランザクションを送信したことがなければ、チェーン上にあるのはあなたのウォレットアドレスだけで、公開鍵は存在しないことを意味します。

したがって、量子コンピューティングの最も直接的な攻撃対象は、既にトランザクションを送信したことのあるアドレスの公開鍵に偏っています。もちろん、この詳細はユーザーレベルで今すぐできる最初の対策を直接引き出しますが、それについては後ほど改めて話します。

業界がこの問題に気づいていないわけではありません。実際、耐量子暗号への移行準備は、複数の戦線で同時に進められています。

イーサリアムの対応策は、アカウント層と署名スキームを分離することです。例えば、EIP-7702やアカウント抽象化（AA）の推進により、イーサリアムアカウントはスマートコントラクトロジックを通じて何が有効な署名かを定義できるようになります。これは、将来的に耐量子署名スキームが導入される日が来たとしても、プロトコルの基層を書き直す必要はなく、アカウントの署名検証モジュールを交換するだけで済むことを意味します。

さらに進んで、イーサリアム財団の暗号研究者であるAntonio Sansoは、EthCC9カンファレンスでイーサリアムの量子耐性セキュリティに関する最新の進捗状況を更新し、量子コンピューターが2030年代半ばにECDSA署名アルゴリズムに実際の脅威をもたらす可能性があると指摘しました。イーサリアムは現在、量子耐性準備の約20％を完了しており、2028年から2032年の間にLean Ethereumアップグレードを通じて完全な量子耐性を実現する計画です。

ただし、現在直面している主な技術的課題は署名サイズの問題です。最も軽量な耐量子署名アルゴリズムであるFalconでさえ、署名サイズはECDSAの10倍以上であり、Solidity内で直接Lattice-based署名を検証するGasコストは極めて高くなります。そのため、研究チームは2つの核心的な技術パスを確立しました：

• 一つは、アカウント抽象化を通じて、ユーザーがウォレットの署名アルゴリズムを耐量子スキームにアップグレードできるようにし、基層プロトコルの変更を必要としないこと。
• もう一つは、LeanVMを導入して複雑なハッシュ演算を処理し、ゼロ知識証明と組み合わせてアドレスニーモニックの所有権を検証し、移行プロセス中の資産の安全性を確保すること。

Antonio氏は、2026年2月から隔週でACD耐量子専門会議を主催すると述べており、現在LighthouseやGrandineなどのコンセンサスクライアントには実験的な耐量子テストネットが導入されています。

これに加えて、ビットコインコミュニティのスタイルは明らかにより保守的です。最近BIPsリポジトリに追加されたBIP360は、新しい出力タイプP2MR（Pay-to-Merkle-Root）を提案しています。その設計目標の一つは、Taproot内の量子脆弱なkey-path spendを除去し、将来の耐量子署名移行のためにより親和性の高い構造を予約することです。

もちろん、提案がBIPsリポジトリに入ったからといって、それがすでにコミュニティのコンセンサスを得ているわけでも、採用が迫っているわけでもありません。したがって、ビットコインコミュニティ内部では、量子露出面と潜在的な出力タイプの変化をめぐるより具体的な提案議論が開始されたと言えるだけです。これは、まず問題を明確に定義し、その後非常にゆっくりとコンセンサスを形成するという、ビットコインの一貫したスタイルにも合致しています。

注目すべきは、早くも2024年に、米国国立標準技術研究所（NIST）が3つの耐量子暗号標準を正式に発表したことです。これは、ブロックチェーンエコシステムが明確な移行目標を持ち、どのアルゴリズムが優れているかという議論が収束するのを待つ必要がなくなり、エンジニアリング実装が実質的にすでに始まっていることを意味します。

三、一般ユーザーはどうすべきか？

量子コンピューターの脅威は何年も先のことではありますが、将来のことは今考えなくてもいいというわけではありません。今日身につければコストがほとんどゼロの良い習慣もあります。

まず第一に、アドレスの再利用を避けることです。これが最も直接的で効果的な自己防衛策です。

その理由も上記の通りです——もしあなたがビットコインなどのUTXOチェーンユーザーであれば、トランザクションを送信するたびにあなたの公開鍵がチェーン上に露出します。もし毎回同じアドレスを使用していれば、公開鍵は長期間公開されたままとなり、量子計算能力が成熟した時点で、攻撃者はあなたの公開鍵から余裕を持って秘密鍵を逆算できるようになります。

現在、imTokenなどの主流ウォレットはデフォルトでHDウォレット機能を提供しています。良い習慣は、毎回の送金で新しいアドレスを使用して受け取り、一つのアドレスを永久の身分証明として繰り返し使用しないことです。そして、一度もトランザクションを送信したことのないアドレスについては、公開鍵が露出したことがないため、現在の量子脅威はほとんど適用されません。

次に、ウォレットの耐量子アップグレードのロードマップに注目することです。

もしあなたが主にイーサリアムなどのアカウントモデルチェーンを使用しているのであれば、重要なのは機械的に新しいアドレスを次々に変えることではなく、使用しているウォレットや属しているパブリックチェーンが、将来明確な移行パスを提供するかどうかに注目することです。

なぜなら、アカウントモデルチェーンにとって、量子時代のより大きな問題は、多くの場合単回の露出ではなく、アクティブなアカウント、公開鍵の履歴、チェーン上のアイデンティティ、アプリケーション権限の長期的な紐付けだからです。いずれ本当に移行の窓が開いた時、どのアカウントがよりアップグレード可能で、どのウォレットが署名ロジックをよりスムーズに置き換えられるかが、より安全であるかどうかを決定します。

最後に、人間の心理的な観点からも予想されることですが、話題の熱度が上がるにつれて、市場には「量子安全」を謳うウォレットやプロトコルがますます増えてくるでしょう。私たちは、このような「量子安全」の旗印を掲げるウォレット、プロトコル、インフラ製品に警戒する必要があります。

このような主張に対して、最も問うべきは宣伝文句ではなく、以下の3つのより核心的な問題です：

• それが依存しているアルゴリズムは、NISTが確定した標準規格か？
• その安全性は、独立した監査と十分な実装検証を経ているか？
• それが謳う量子安全は、チェーンレベルの移行、アカウントレベルのアップグレードなのか、それとも単なるアプリケーション層のラッピングに過ぎないのか？

結局のところ、真の耐量子安全性が最終的にカバーすべきは、単なる一つのアプリのラベルではなく、署名、検証からチェーン上の互換性に至るまでの全体のパスだからです。

総括すると、量子コンピューティングがブロックチェーンに及ぼす脅威は現実に存在し、Googleのこの最新のホワイトペーパーの重要性は、確かに脅威を遠い理論から計画可能なリスクへと一歩押し進めた点にあります。

しかし、これは依然として「明日ウォレットが攻撃される」という信号ではありません。より正確な理解は、耐量子移行はもはや学術界だけの話題ではなく、今後何年にもわたってプロトコルアップグレード、ウォレット設計、ユーザー資産管理に徐々に入り込んでくる現実の問題になるだろう、ということです。

最後に

業界にとって、今後本当に重要なのは、誰が先に「量子が来た」と叫ぶかではなく、誰が先に明確な移行パスを設計できるかです。

ユーザーにとっては、今すぐパニックに陥るのではなく、まず最も基本的なリスク認識を確立することです：どの資産が先に露出するのか、どの操作が露出面を拡大するのか、どのウォレットやパブリックチェーンが将来スムーズなアップグレードを提供する可能性が高いのか。

私たちに必要なのは、早めに行動することであり、過度な不安ではありません。

皆さんと共に励まし合いたいと思います。