機関投資家は、実務上の脅威はいまだ遠いように見えるにもかかわらず、「量子ビットコイン」という物語が長期的なセキュリティの前提にどう影響するのかを、ますます問うようになっている。量子脅威の実際の範囲世間の議論では、量子コンピューティングが差し迫ってビットコインを破れる可能性があると示唆されがちだ。しかし、それを Shor のアルゴリズムで行えるほどの計算能力を備えた機械は、なお数十年先である可能性が高く、劇的な見出しが示すほど実際の露出は狭い。ビットコインは、デジタル署名によって所有権を確保している。歴史的には ECDSA であり、Taproot 以降は BIP340 の下で Schnorr 署名も用いる。両方式はいずれも同じ楕円曲線 secp256k1 を使っており、秘密鍵から公開鍵を導出する点では、現状では古典的なハードウェアでは逆算できない。Shor のアルゴリズムを暗号学的に意味のある規模で実行できる耐故障型量子コンピュータは、理論上、楕円曲線の離散対数問題を解ける可能性がある。そうなれば攻撃者は正当な署名を偽造して直接資金を盗むことができるため、この攻撃ベクトルは最も注目を集めている。次に懸念されるのは Grover のアルゴリズムで、総当たり探索の問題に対して二次の高速化を提供する。SHA-256 をまるごと破るわけではないが、有効な proof-of-work ハッシュを見つけるために必要な作業を減らし得る。もし量子マイナーが今日の ASIC の陣容を上回れるなら、マイニング経済や中央集権化リスクが変化する可能性がある。さらに、こうした proof-of-work の優位性は、やはり現実のエンジニアリングに依存する。特殊化された ASIC よりも優れた量子マイナーを設計し運用することは、実験室で Grover のアルゴリズムを動かすだけとは別の、巨大な課題だ。ビットコインが実際に晒される場所Shor ベースの攻撃は、公開鍵がオンチェーンで可視化されたときに初めて現実味を帯びる。この露出のプロファイルは、出力タイプやウォレット運用によって大きく異なる。だからこそ、ビットコインの量子的リスクは一様ではない。長期的な露出を持つコインとは、UTXO が作成される際に公開鍵が明らかになり、あるいは長期間そのまま可視のままであるものだ。これには、初期の P2PK 出力、過去の支払いで明らかになった鍵に紐づく資金を再利用アドレスで保持しているケース、そして Taproot P2TR 出力が含まれる。そうした場合、公開鍵は支払いが起こるずっと前から回収(harvest)され得る。これにより、「今回回収して、後で攻撃する」という潜在的なシナリオが生まれる。将来、強力な量子マシンが存在するなら、長く晒されていた鍵を大規模に狙うことができるかもしれない。一方で、P2PKH(レガシー)や P2WPKH(SegWit)といった現代のウォレット型は、ハッシュ化された公開鍵を使い、実際の鍵が明らかになるのは支払い時のみだ。ただしこれは攻撃者の窓を大きく狭める。攻撃者は、正当な支払いが確定するまでの数ブロックの間に、秘密鍵を導出し、矛盾する取引をブロードキャストする必要があるからだ。どれくらいのコインが露出しているかの推定はさまざまだ。ある分析では、総供給の 20–50% が、広い前提のもとで脆弱になり得ると示唆している。別の見方では、それは実際の悪用可能性を過大評価しているという。たとえば、多くの露出コインが小さな UTXO に分断されている場合、または mempool の競り合いでほんの短い間だけ可視である場合などだ。広く引用されるあるレポートは、実質的に露出していて集中している部分を約 10,200 BTC に絞り込んでいる。これは重要だが、システム的な全滅(wipe-out)のシナリオとはほど遠い。さらに、理論上の攻撃面と実際の攻撃面のこの区別は、信頼できるリスク評価にとって決定的だ。耐故障型量子のボトルネックこれらのシナリオはすべて、現在のデバイスを大きく超えた規模で動作する、大型の耐故障型量子コンピュータの存在を前提としている。今日、公開されている既知のシステムはまだノイジーで、小さく、暗号学的に意味のある攻撃を実行できない。ビットコインの楕円曲線署名を破るには、十分な数の安定した論理量子ビットを作るために、強力な誤り訂正を備えた何百万もの物理量子ビットが必要になる可能性が高い。最近のある研究では、必要なマシンは、今日利用可能などの量子プロセッサよりも概ね 100,000× より高性能である必要があるかもしれないと見積もっている。そうしたハードウェアが、ビットコインにとって重要になる時期に間に合うかどうかについては意見が分かれる。とはいえ、多くの真剣な予測では最も早いもっともあり得る時期が 2030 年代半ば〜2040 年代半ばに集中している。これはエコシステムに時間を与えるが、安心してよい理由にはならない。決定的なのは、もし意味のある能力がいつか現れるなら、対応は何年も前から計画され、テストされ、調整されている必要があるという点だ。だからこそ議論は、サイエンスフィクションからエンジニアリングおよびガバナンスの問題へと移ってきた。ポスト量子標準と移行パス中核となる課題は、厳しいスループット制限、保守的なガバナンス、そして保有者とサービス提供者の間で不均一なインセンティブのもとで、ビットコインが量子耐性のある暗号へどのように移行できるかだ。2024 年、NIST は最初のポスト量子暗号の標準群を最終化した。これには格子ベースの ML-DSA(Dilithium)や SLH-DSA(SPHINCS+)が含まれる。これらの方式は、量子セーフな運用に備える必要がある大規模システムのデフォルト候補になりつつある。ビットコインでは、現実的な移行はおそらく段階的に展開されるだろう。新しい出力タイプやウォレットのデフォルトが導入される。さらに、長い移行期間のあいだ、古典的な証明とポスト量子の証明の両方を必要とするハイブリッド取引が並行して導入される可能性もある。しかし、ポスト量子署名には一般にトレードオフがある。多くの場合、署名はより大きく、検証にもより計算負荷がかかるため、ブロックスペースの使用量、帯域要件、そしてフルノードの検証コストが増える。ネットワークのスケーラビリティや分散化に負荷をかけないよう、慎重な設計が必要だ。単一の設計図を超えて、いくつかのもっともらしい方向性がある。例えば、量子対応の出力タイプ、定義された移行ウィンドウ向けのハイブリッドなポリシー、そして長く生き残る公開鍵の露出を徐々に減らすウォレットのデフォルト設定などだ。新しいスクリプトタイプを導入するうえで、ソフトフォークが最もあり得るメカニズムだ。一方で、ハードフォークはチェーン分割の可能性があるため、高リスクな最後の手段として残る。BIP 360 と P2MR による段階的な強化BIP 360 は、最近公式 BIPs リポジトリにマージされたもので、これまでのところ、高レベルの懸念を、段階的でビットコインネイティブな緩和策へ落とし込む試みとして最も具体的だ。長期的な露出パターンに焦点を当てている。この提案は Pay-to-Merkle-Root(P2MR)という新しい出力タイプを導入する。これは機能的には Taproot のスクリプトツリーに似ているように設計されているが、意図的にキー・パスでの支払いを削除する。代わりに、すべての支払いでスクリプトパスを開示し、Merkle 証明を提示しなければならない。概念的に、P2MR は「Taproot のようなスクリプトツリーだが、キー・パスはない」。この設計は、Shor のアルゴリズムに結びついた「今回回収して、後で攻撃する」シナリオで最も脆弱な、長く埋め込まれた公開鍵を直接狙いにいく。だが、ビットコインを直ちに重量級のポスト量子署名方式へコミットすることはしない。主なトレードオフはサイズだ。P2MR の支払いは、コンパクトな Taproot キー・パスの支払いと比べて、より大きな witness を伴う。とはいえ、支持者は、公開鍵の露出を大きく長期間にわたって減らせるなら、わずかに大きいスクリプトを受け入れるのは正当化されると主張している。BIP 360 は、P2MR を最終解というより土台となる構成要素として提示している。これは問題の一部、つまり長期露出の出力に対処するものだが、短命の mempool レースのリスクや、完全なポスト量子署名への移行には、追加の提案と合意形成が必要になる。レガシー UTXO とガバナンス上のジレンマこの提案はまた、より不快な現実も強調している。新しい出力タイプやより良いウォレットのデフォルトが導入されたとしても、UTXO セットの無視できない割合は、おそらく無期限にレガシー・スクリプトのまま残り、構造的な脆弱性の「ポケット」が生まれ続けるだろう。保有分の一部は単に休眠している、あるいは失われている。そこにいる所有者は、新しい取引に署名することが二度とない。別のものは、制度的なカストディ契約や独自のセットアップのもとに置かれており、動きが遅い。さらに、単純な人間の惰性により、ある脅威が差し迫っていると感じるまで、移行を自発的に行わないユーザーもいる。仮に暗号学的に意味のある量子能力がいつか現れるなら、所有者に到達できないような、長く露出してきたコインの一部は、理論上、それらの秘密鍵を最初に導出できる者によって掃き取られる可能性がある。これがプロトコルの失敗ではなく盗難として扱われるとしても、市場への影響は深刻になり得る。大規模な休眠クラスターが突然清算されれば、信頼が崩れ、緊急の政策論争を引き起こし、隠れた供給の超過(overhang)があるのではという恐れを煽り得る。だが、凍結(freeze)、取り戻し(claw back)、あるいは未移行のコインを別扱いするような提案は、不可変性(immutability)、中立性(neutrality)、そして財産権(property rights)に関わる爆発的な論点を呼び起こし、ビットコインの社会的な契約の核心に切り込むことになる。ガバナンスのデッドロックが起きうることは、そのため早期に、慎重で、測った計画が非常に重要である理由の一つだ。いったん信頼できる量子攻撃が進行し始めれば、即興の急進的な修正を行うための時間や合意が残されていないかもしれない。リスク、タイムライン、現実的な準備状況ビットコインの量子的リスクをめぐるより広い議論の中で、最も深刻に見ている分析者の多くは、今では次の点で一致している。課題は現実にある、タイムラインは不確かであり、攻撃面は出力タイプやウォレットの運用の違いによって非常に不均一だ、ということである。重要なのは、このエコシステムがゼロから始まっているわけではないことだ。開発者はすでに、ソフトフォークで適用できる強化、P2MR のような新しい出力設計、そして他業界で出現する標準に基づいて導かれる移行戦略を検討している。これはまさに、長期の時間軸を持つ機関投資家が見たいタイプの仕事だ。最も難しいのは調整(コーディネーション)だ。大きな移行は何年もかかる可能性があり、政治的に論争的になり得る。そして、決して動かないコインによって複雑化することもある。とはいえ、ビットコインの保守的なアップグレード文化は強みでもある。ネットワーク全体を、急いだハードフォークの締切に追い込むことなく、オプトインで段階的な変更を可能にするからだ。その文脈で見ると、量子ビットコインのリスク・プロファイルは「差し迫った存在の崖」よりも、「長期にわたるエンジニアリング課題」に近い。研究が続き、慎重なウォレット設計が行われ、プロトコルの段階的な強化が進むなら、ネットワークにはまだ準備する時間がある。結局のところ、合理的な姿勢は明確だ。準備がパニックに勝つ。量子を真剣だが管理可能な脅威として扱うことで、ビットコインは、価値の源になっている性質を犠牲にすることなく、セキュリティモデルを進化させ続けられる。
市場は研究者が段階的かつ慎重な準備を計画していることから、量子ビットコインのリスクに注目
機関投資家は、実務上の脅威はいまだ遠いように見えるにもかかわらず、「量子ビットコイン」という物語が長期的なセキュリティの前提にどう影響するのかを、ますます問うようになっている。
量子脅威の実際の範囲
世間の議論では、量子コンピューティングが差し迫ってビットコインを破れる可能性があると示唆されがちだ。しかし、それを Shor のアルゴリズムで行えるほどの計算能力を備えた機械は、なお数十年先である可能性が高く、劇的な見出しが示すほど実際の露出は狭い。
ビットコインは、デジタル署名によって所有権を確保している。歴史的には ECDSA であり、Taproot 以降は BIP340 の下で Schnorr 署名も用いる。両方式はいずれも同じ楕円曲線 secp256k1 を使っており、秘密鍵から公開鍵を導出する点では、現状では古典的なハードウェアでは逆算できない。
Shor のアルゴリズムを暗号学的に意味のある規模で実行できる耐故障型量子コンピュータは、理論上、楕円曲線の離散対数問題を解ける可能性がある。そうなれば攻撃者は正当な署名を偽造して直接資金を盗むことができるため、この攻撃ベクトルは最も注目を集めている。
次に懸念されるのは Grover のアルゴリズムで、総当たり探索の問題に対して二次の高速化を提供する。SHA-256 をまるごと破るわけではないが、有効な proof-of-work ハッシュを見つけるために必要な作業を減らし得る。もし量子マイナーが今日の ASIC の陣容を上回れるなら、マイニング経済や中央集権化リスクが変化する可能性がある。
さらに、こうした proof-of-work の優位性は、やはり現実のエンジニアリングに依存する。特殊化された ASIC よりも優れた量子マイナーを設計し運用することは、実験室で Grover のアルゴリズムを動かすだけとは別の、巨大な課題だ。
ビットコインが実際に晒される場所
Shor ベースの攻撃は、公開鍵がオンチェーンで可視化されたときに初めて現実味を帯びる。この露出のプロファイルは、出力タイプやウォレット運用によって大きく異なる。だからこそ、ビットコインの量子的リスクは一様ではない。
長期的な露出を持つコインとは、UTXO が作成される際に公開鍵が明らかになり、あるいは長期間そのまま可視のままであるものだ。これには、初期の P2PK 出力、過去の支払いで明らかになった鍵に紐づく資金を再利用アドレスで保持しているケース、そして Taproot P2TR 出力が含まれる。
そうした場合、公開鍵は支払いが起こるずっと前から回収(harvest)され得る。これにより、「今回回収して、後で攻撃する」という潜在的なシナリオが生まれる。将来、強力な量子マシンが存在するなら、長く晒されていた鍵を大規模に狙うことができるかもしれない。
一方で、P2PKH(レガシー)や P2WPKH(SegWit)といった現代のウォレット型は、ハッシュ化された公開鍵を使い、実際の鍵が明らかになるのは支払い時のみだ。ただしこれは攻撃者の窓を大きく狭める。攻撃者は、正当な支払いが確定するまでの数ブロックの間に、秘密鍵を導出し、矛盾する取引をブロードキャストする必要があるからだ。
どれくらいのコインが露出しているかの推定はさまざまだ。ある分析では、総供給の 20–50% が、広い前提のもとで脆弱になり得ると示唆している。別の見方では、それは実際の悪用可能性を過大評価しているという。たとえば、多くの露出コインが小さな UTXO に分断されている場合、または mempool の競り合いでほんの短い間だけ可視である場合などだ。
広く引用されるあるレポートは、実質的に露出していて集中している部分を約 10,200 BTC に絞り込んでいる。これは重要だが、システム的な全滅(wipe-out)のシナリオとはほど遠い。さらに、理論上の攻撃面と実際の攻撃面のこの区別は、信頼できるリスク評価にとって決定的だ。
耐故障型量子のボトルネック
これらのシナリオはすべて、現在のデバイスを大きく超えた規模で動作する、大型の耐故障型量子コンピュータの存在を前提としている。今日、公開されている既知のシステムはまだノイジーで、小さく、暗号学的に意味のある攻撃を実行できない。
ビットコインの楕円曲線署名を破るには、十分な数の安定した論理量子ビットを作るために、強力な誤り訂正を備えた何百万もの物理量子ビットが必要になる可能性が高い。最近のある研究では、必要なマシンは、今日利用可能などの量子プロセッサよりも概ね 100,000× より高性能である必要があるかもしれないと見積もっている。
そうしたハードウェアが、ビットコインにとって重要になる時期に間に合うかどうかについては意見が分かれる。とはいえ、多くの真剣な予測では最も早いもっともあり得る時期が 2030 年代半ば〜2040 年代半ばに集中している。これはエコシステムに時間を与えるが、安心してよい理由にはならない。
決定的なのは、もし意味のある能力がいつか現れるなら、対応は何年も前から計画され、テストされ、調整されている必要があるという点だ。だからこそ議論は、サイエンスフィクションからエンジニアリングおよびガバナンスの問題へと移ってきた。
ポスト量子標準と移行パス
中核となる課題は、厳しいスループット制限、保守的なガバナンス、そして保有者とサービス提供者の間で不均一なインセンティブのもとで、ビットコインが量子耐性のある暗号へどのように移行できるかだ。
2024 年、NIST は最初のポスト量子暗号の標準群を最終化した。これには格子ベースの ML-DSA(Dilithium)や SLH-DSA(SPHINCS+)が含まれる。これらの方式は、量子セーフな運用に備える必要がある大規模システムのデフォルト候補になりつつある。
ビットコインでは、現実的な移行はおそらく段階的に展開されるだろう。新しい出力タイプやウォレットのデフォルトが導入される。さらに、長い移行期間のあいだ、古典的な証明とポスト量子の証明の両方を必要とするハイブリッド取引が並行して導入される可能性もある。
しかし、ポスト量子署名には一般にトレードオフがある。多くの場合、署名はより大きく、検証にもより計算負荷がかかるため、ブロックスペースの使用量、帯域要件、そしてフルノードの検証コストが増える。ネットワークのスケーラビリティや分散化に負荷をかけないよう、慎重な設計が必要だ。
単一の設計図を超えて、いくつかのもっともらしい方向性がある。例えば、量子対応の出力タイプ、定義された移行ウィンドウ向けのハイブリッドなポリシー、そして長く生き残る公開鍵の露出を徐々に減らすウォレットのデフォルト設定などだ。新しいスクリプトタイプを導入するうえで、ソフトフォークが最もあり得るメカニズムだ。一方で、ハードフォークはチェーン分割の可能性があるため、高リスクな最後の手段として残る。
BIP 360 と P2MR による段階的な強化
BIP 360 は、最近公式 BIPs リポジトリにマージされたもので、これまでのところ、高レベルの懸念を、段階的でビットコインネイティブな緩和策へ落とし込む試みとして最も具体的だ。長期的な露出パターンに焦点を当てている。
この提案は Pay-to-Merkle-Root(P2MR)という新しい出力タイプを導入する。これは機能的には Taproot のスクリプトツリーに似ているように設計されているが、意図的にキー・パスでの支払いを削除する。代わりに、すべての支払いでスクリプトパスを開示し、Merkle 証明を提示しなければならない。
概念的に、P2MR は「Taproot のようなスクリプトツリーだが、キー・パスはない」。この設計は、Shor のアルゴリズムに結びついた「今回回収して、後で攻撃する」シナリオで最も脆弱な、長く埋め込まれた公開鍵を直接狙いにいく。だが、ビットコインを直ちに重量級のポスト量子署名方式へコミットすることはしない。
主なトレードオフはサイズだ。P2MR の支払いは、コンパクトな Taproot キー・パスの支払いと比べて、より大きな witness を伴う。とはいえ、支持者は、公開鍵の露出を大きく長期間にわたって減らせるなら、わずかに大きいスクリプトを受け入れるのは正当化されると主張している。
BIP 360 は、P2MR を最終解というより土台となる構成要素として提示している。これは問題の一部、つまり長期露出の出力に対処するものだが、短命の mempool レースのリスクや、完全なポスト量子署名への移行には、追加の提案と合意形成が必要になる。
レガシー UTXO とガバナンス上のジレンマ
この提案はまた、より不快な現実も強調している。新しい出力タイプやより良いウォレットのデフォルトが導入されたとしても、UTXO セットの無視できない割合は、おそらく無期限にレガシー・スクリプトのまま残り、構造的な脆弱性の「ポケット」が生まれ続けるだろう。
保有分の一部は単に休眠している、あるいは失われている。そこにいる所有者は、新しい取引に署名することが二度とない。別のものは、制度的なカストディ契約や独自のセットアップのもとに置かれており、動きが遅い。さらに、単純な人間の惰性により、ある脅威が差し迫っていると感じるまで、移行を自発的に行わないユーザーもいる。
仮に暗号学的に意味のある量子能力がいつか現れるなら、所有者に到達できないような、長く露出してきたコインの一部は、理論上、それらの秘密鍵を最初に導出できる者によって掃き取られる可能性がある。これがプロトコルの失敗ではなく盗難として扱われるとしても、市場への影響は深刻になり得る。
大規模な休眠クラスターが突然清算されれば、信頼が崩れ、緊急の政策論争を引き起こし、隠れた供給の超過(overhang)があるのではという恐れを煽り得る。だが、凍結(freeze)、取り戻し(claw back)、あるいは未移行のコインを別扱いするような提案は、不可変性(immutability)、中立性(neutrality)、そして財産権(property rights)に関わる爆発的な論点を呼び起こし、ビットコインの社会的な契約の核心に切り込むことになる。
ガバナンスのデッドロックが起きうることは、そのため早期に、慎重で、測った計画が非常に重要である理由の一つだ。いったん信頼できる量子攻撃が進行し始めれば、即興の急進的な修正を行うための時間や合意が残されていないかもしれない。
リスク、タイムライン、現実的な準備状況
ビットコインの量子的リスクをめぐるより広い議論の中で、最も深刻に見ている分析者の多くは、今では次の点で一致している。課題は現実にある、タイムラインは不確かであり、攻撃面は出力タイプやウォレットの運用の違いによって非常に不均一だ、ということである。
重要なのは、このエコシステムがゼロから始まっているわけではないことだ。開発者はすでに、ソフトフォークで適用できる強化、P2MR のような新しい出力設計、そして他業界で出現する標準に基づいて導かれる移行戦略を検討している。これはまさに、長期の時間軸を持つ機関投資家が見たいタイプの仕事だ。
最も難しいのは調整(コーディネーション)だ。大きな移行は何年もかかる可能性があり、政治的に論争的になり得る。そして、決して動かないコインによって複雑化することもある。とはいえ、ビットコインの保守的なアップグレード文化は強みでもある。ネットワーク全体を、急いだハードフォークの締切に追い込むことなく、オプトインで段階的な変更を可能にするからだ。
その文脈で見ると、量子ビットコインのリスク・プロファイルは「差し迫った存在の崖」よりも、「長期にわたるエンジニアリング課題」に近い。研究が続き、慎重なウォレット設計が行われ、プロトコルの段階的な強化が進むなら、ネットワークにはまだ準備する時間がある。
結局のところ、合理的な姿勢は明確だ。準備がパニックに勝つ。量子を真剣だが管理可能な脅威として扱うことで、ビットコインは、価値の源になっている性質を犠牲にすることなく、セキュリティモデルを進化させ続けられる。