量子コンピューターが小型ビットコイン形式の鍵を解読、業界はこれをSFと見なすのをやめるべき

小規模な実証が持つ大きな意味

量子コンピューターが15ビットの楕円曲線暗号鍵を解読した。これは、ビットコイン、イーサリアム、そしてデジタル資産経済の大部分を保護するために使われている暗号システムを単純化したものだ。

この結果は、量子セキュリティ企業Project Elevenによって発表され、同社は独立研究者のGiancarlo Lelliに1ビットコインの「Q-Day Prize」を授与した。LelliはShorのアルゴリズムの変形を使い、一般にアクセス可能な量子ハードウェアを用いて、対応する公開鍵から秘密鍵を導き出した。Shorのアルゴリズムは、公開鍵暗号に対する最終的な脅威として長らく見なされてきた量子アルゴリズムだ。

この結果は量子セキュリティ企業Project Elevenによって発表された。出典：X

重要な注意点は、同時に明白な点でもある。ビットコインは解読されていない。15ビットの楕円曲線鍵は、ビットコインの256ビットsecp256k1暗号には到底及ばない。規模の差は膨大だ。15ビット鍵の取り得る値は32,768通りだが、256ビット鍵の取り得る値はおよそ1.16 × 10^77通りある。この2つの数字を注釈なしに同じ文に並べるべきではない。

それでも、この結果が重要なのは、十分な規模に達した場合に楕円曲線署名を脅かすであろう攻撃手法を公開実証したからだ。Project Elevenはこれを、楕円曲線暗号に対する過去最大の公開量子攻撃と説明し、2025年の6ビット実証から512倍の飛躍を示すものだと述べた。

「この種の攻撃に必要なリソースは下がり続けており、実際に実行するための障壁もそれとともに低下している」と、Project ElevenのCEOであるAlex Prudenは述べた。「優勝した成果は、クラウドでアクセス可能なハードウェアを使って作業した独立研究者から生まれた。国立研究所でも、専用チップでもない。」

これこそが真剣に受け止めるべき点だ。この実験はビットコインの資金を直ちにリスクにさらすものではない。しかし、基盤となる暗号ファミリーへの量子攻撃が、もはやホワイトボードや会議パネルに限られていないことを示している。今や、一般に公開されているシステム上でミニチュア規模で実証されているのだ。

ビットコインは解読されていないが、一部のコインはより脆弱だ

ビットコインへの量子リスクはしばしば誤解されている。主な懸念は、マイニング、プルーフ・オブ・ワークシステム、あるいは過去の台帳ではない。核心的な問題はデジタル署名だ。

ビットコインの所有権は署名によって証明される。攻撃者が公開鍵から秘密鍵を導き出せれば、コインを所有しているかのようにトランザクションを承認できる。古典的なコンピューターは、現実的な時間枠でビットコインの現在の暗号に対してそれを行うことはできない。Shorのアルゴリズムを実行する十分に強力な量子コンピューターならば、理論上は可能だ。

この違いが、ビットコインのリスクプロファイルに重要な分断を生む。公開鍵がまだ公開されていないアドレスに保管されているコインは、標的にされにくい。一方、公開鍵がすでにオンチェーンで可視化されているアドレスのコインは、将来の量子攻撃に対してより脆弱だ。これには、古いpay-to-public-keyアウトプット、再利用されたアドレス、そして公開鍵を露出させるその他のウォレット行動が含まれる。

最近のCoinbase量子諮問委員会の論文によると、約690万BTCがこのより脆弱なカテゴリに該当すると推計されている。ビットコインが77,500ドル付近で取引されていることを考えると、将来の量子脅威モデルに関連し得るアドレスに5,300億ドル以上のBTCが保管されていることを意味する。

この数字を「5,300億ドルが盗まれようとしている」と読むべきではない。長期的なリスクがどこに集中しているかを示す地図として読むべきだ。今日の量子コンピューターはビットコインの256ビット楕円曲線署名を破るほど強力でも信頼性が高くもないため、直接的なリスクは依然として低い。しかし、アドレス露出の問題は現実であり、測定可能であり、ネットワーク全体に均等に分布しているわけではない。

Brave New Coinはこれまでに「Bitcoin Faces Long-Term Quantum Threat as Researchers Push Post-Quantum Upgrades」でこの違いを取り上げ、リスクはビットコインが技術的に適応できるかどうかというよりも、分散型ネットワークが時間内に移行を調整できるかどうかの問題だと指摘している。

Googleの研究がタイムラインをより厳しいものにした

Project Elevenの結果は、GoogleのQuantum AIチームからのより重大な警告の後にも届いた。3月、Google研究者たちは量子脆弱性に対する楕円曲線暗号資産のセキュリティ確保に関する論文を発表し、将来の量子コンピューターは主要なブロックチェーンで使用される楕円曲線暗号を攻撃するために、以前の推計よりも少ないリソースを必要とするかもしれないと主張した。

この論文は、超伝導アーキテクチャ、物理エラー率、および平面接続に関する特定の仮定のもとで、secp256k1上の256ビット楕円曲線暗号への攻撃は50万個未満の物理量子ビットで実行できると推計した。これは今日の公開量子ハードウェアをはるかに超えている。しかし、議論を漠然とした「いつか」という言語から、具体的なリソース推計へと移行させた。

Googleはまた、完全な攻撃回路を開示せずにゼロ知識証明を使って機密性の高い結果を検証したとも述べた。この詳細は重要だ。一流の研究者たちが暗号資産の量子リスクを、抽象的な推測というよりもセキュリティ開示問題として扱い始めていることを示している。

より広いサイバーセキュリティの世界はすでに動き始めている。米国国立標準技術研究所（NIST）は2024年に初のポスト量子暗号標準を確定させ、ML-KEM、ML-DSA、SLH-DSAが含まれる。NISTはこれらの標準が実装の準備が整っていると述べている。暗号移行には月単位ではなく年単位の時間がかかるため、各国政府や大企業は今や移行タイムラインを策定している。

暗号資産業界は注目すべきだ。この業界は新しいトークンのナラティブが登場した際に素早く動くのは得意だ。しかし、即時のマーケティング効果のない、低速で技術的なインフラアップグレードが必要な場合は、一貫性に欠けることがある。

難しいのは数学ではない

ビットコインはほぼ確実により量子耐性を持つようにできる。ポスト量子署名スキームは存在する。研究者たちはすでに、量子耐性アドレス形式、新しい署名opcodeの導入、および段階的な移行パスを検討している。

難しい問いはガバナンスだ。ビットコインは意図的に変更が難しい。その保守性はビットコインの強みの一つだ。無謀な実験を防ぎ、通貨システムの信頼性を守る。しかし同時に、主要な暗号アップグレードには長いリードタイム、幅広いコンセンサス、広範なレビュー、そして慎重な有効化が必要であることも意味する。

これが不一致を生む。量子ハードウェアの進歩は非線形かもしれない。ビットコインのガバナンスは意図的に遅い。ネットワークが脅威が明確に見えるまで待てば、利用可能な対応窓口が狭まっていることに気づくかもしれない。

最も難しい問題は、休眠中または消失したコインに関するものかもしれない。一部のコインが露出した公開鍵アドレスに残り、移行されないままであれば、ネットワークはどうすべきか？放置して、将来の量子攻撃者がそれを取得する可能性を受け入れるか？自発的な移行を促進し、残余リスクを受け入れるか？脆弱なアウトプットに対するプロトコルレベルの制限を検討するか？各オプションにはトレードオフがあり、どれも政治的に容易ではない。

だからこそ、量子論争はビットコインが今日安全かどうかという二項対立の議論に矮小化すべきではない。今日は安全だ。しかし、それは準備ができているということとは同じではない。信頼できる立場は、ビットコインには時間があるが、時間はうまく使われて初めて価値を持つというものだ。

イーサリアムと他のチェーンも同様の問題に直面している

ビットコインだけではない。イーサリアムも楕円曲線暗号に依存しており、プルーフ・オブ・ステーク(PoS)ネットワークはバリデーター署名を通じた追加のリスクをもたらす。Coinbaseの論文は、プルーフ・オブ・ステーク(PoS)チェーンには、バリデーターがネットワークを保護するために使用する署名スキームに関連した特定のリスクがあると指摘した。

イーサリアムはいくつかの点でより容易なパスを持つかもしれない。そのガバナンス文化がプロトコル変更をより受け入れやすいからだ。Ethereum Foundationはすでにポスト量子セキュリティを研究アジェンダの上位に置いており、この変化はBrave New Coinが「Ethereum Goes All-In on Post-Quantum Security」で報じた。それでもイーサリアムが免疫を持つわけではない。単にアップグレードを巡る社会的プロセスが異なることを意味するだけだ。

ビットコインのアップグレード文化はより保守的だが、それには正当な理由がある。しかし、ビットコインを不必要な変更から守る同じ保守性が、必要な変更を遅らせる可能性もある。これがトレードオフだ。スローガンの陰に隠すのではなく、率直に議論すべきだ。

取引所、カストディアン、ウォレットプロバイダー、マイナー、開発者、そして長期保有者にとって、実践的なアジェンダはより明確になりつつある。露出した公開鍵保有量を特定すること。アドレスの再利用を減らすこと。ウォレット管理を改善すること。ポスト量子署名スキームをテストすること。より大きな署名がトランザクションサイズ、手数料、ブロックスペースに与える影響をモデル化すること。緊急性が慎重な設計の余裕を奪う前に、ガバナンスの議論を始めること。

これらはいずれもパニックを必要としない。しかし、真剣さは必要だ。

シグナルは無視しにくくなっている

15ビットの量子実証は、ビットコインの暗号に対する直接的な脅威ではない。そのように提示する人は結果を誇張している。しかし、完全に一蹴することも同様に無責任だろう。

セキュリティリスクは通常、緊急になるよりずっと前に危険になる。初期の兆候は技術的で段階的であり、無視しやすい。小さな鍵が解読される。リソース推計が下がる。クラウドアクセス可能なハードウェアが改善される。標準化機関が移行作業を始める。大手テクノロジー企業が慎重な警告を発表し始める。個々の発展はそれぞれ説明できる。しかし総合すると、それらはトレンドを形成する。

ビットコインの価値提案は、数十年間生き残れるという考えに部分的に依存している。つまり、数十年規模のリスクを真剣に取り組まなければならない。ポスト量子計画はビットコインへの攻撃ではない。それはビットコインの信頼性を維持するための一部だ。

Lelliの結果から導くべき正しい結論は、ビットコインが解読されたということではない。業界が、暗号には賞味期限があり、締め切りが見える前に移行計画を立てる方が容易であるという、もう一つのリマインダーを与えられたということだ。