文:Max He @ Safeheron Lab
Google のホワイトペーパーは量子リスクの工学的な評価を大きく前進させたが、CRQC が現実にかなり近づいていることは証明していない
いくつかのリソース推計の低下 ≠ 現実の攻撃能力がすでに整ったことを意味し、間にはまだ大量の越えられていない工学的課題がある
業界が構築すべきなのは「ポスト量子アルゴリズムを採用する」能力だけではなく、「暗号学の継続的な変化に対応する」能力である
2030–2035 は、量子攻撃が到来する正確な時点ではなく、逆算して移行準備を進めるための重要な基準となるウィンドウだ
2026 年 3 月 30 日、Google Quantum AI は、イーサリアム財団およびスタンフォード大学の研究者と共同で、注目のホワイトペーパー [1] を発表した。この 57 ページにわたる論文は、量子計算が暗号資産にもたらす脅威を体系的に分析し、これまでで最も過激なリソース推計を提示している。ビットコインとイーサリアムが依存する 256 ビット楕円曲線暗号を解読するのに、50 万個未満の物理量子ビットで済む——これは、従来の最良の推計から約 20 倍も縮小されたことになる。
同時に、論文は量子攻撃の議論をビットコインから暗号資産全体のエコシステムへ拡張し、さらに、イーサリアムにおけるスマートコントラクト、ステーキングに基づくコンセンサス、データ利用可能性サンプリングなどの仕組みの中にも、同様に潜在的な量子攻撃面が存在することを指摘している。つまり、このホワイトペーパーが扱っているのはもはや「ビットコインの秘密鍵が量子で解読されるかどうか」という単一の論点だけではなく、業界全体に対して次の見直しを促しているのだ。量子能力が進化していく局面で、既存のブロックチェーンシステムにはどの安全性に関する仮定が再評価の対象になり得るのか。
このホワイトペーパーは、ブロックチェーン業界において明確な動揺を引き起こした。「量子計算は数分でビットコインを解読できる」という主張が急速に広まり、多くの従事者が既存の安全性仮定を再考し始めた。その強い反応の理由は、リソース推計がさらに下がったからだけではない。加えて、この論文が初めて「オンチェーン取引のウィンドウ攻撃が可能かどうか」と「ブロックチェーンシステムが移行を完了するのに間に合うのか」を、同じ議論の平面上に置いたからでもある。問題はもはや、学術的な「解読できるのか」という問いだけではなく、工学およびガバナンスの「準備するのに十分な時間はまだあるのか」という問いになっていった。
しかし、こうした感情の背後にあって、より問う価値のあるのは次の問いだ。Google は実際に何を証明したのか? そして何を証明していないのか? この取り組みは、量子リスクに対する私たちの理解をどの程度変えたのか?
注目すべき点として、このホワイトペーパーが論じる影響範囲は、ビットコイン型の鍵露出問題に限定されない。より広義の暗号資産システムの攻撃面へと広がっている。ただし、本記事がより重視しているのは、個別のオンチェーン機構の具体的な影響を順番に展開することではなく、この取り組みが全体の量子リスク評価にもたらす変化である。
現在の主流暗号資産の安全性は、楕円曲線離散対数問題(ECDLP)に基づいている [2]。たとえばビットコインとイーサリアムで使われる secp256k1 曲線 [3] を例にすると、その中核となる仮定はこうだ。古典計算の条件のもとでは、公鍵(楕円曲線上の点)が与えられても、それに対応する秘密鍵を実行可能な時間内に導出することはできない。
この仮定は過去数十年にわたり広く受け入れられ、ブロックチェーンシステム全体の基礎となる安全性の前提を構成してきた。しかし Shor アルゴリズム [4] は、理想化された量子計算モデルにおいて ECDLP は効率的に解けるため、この安全性の基盤が理論上揺らぐことを指摘している。
Google の今回の取り組みの中心は、新しい攻撃方式を提案することではなく、長く存在してきた問いに改めて答えることにある。つまり、将来本当に十分に大きく、十分に安定し、こうした量子アルゴリズムを実行できる量子コンピュータが作られるとしたら、ECDLP を解読するのにどれほどの計算リソースが必要になるのか?
論文は secp256k1 向けの量子回路を構成し、最適化を行い、2 つの異なる最適化方針にもとづく実装パスを提示している。1 つは可能な限り論理量子ビット数を減らすこと、もう 1 つは可能な限り非 Clifford ゲート(Toffoli ゲートなど)の数を減らすことだ。明確なハードウェアと誤り訂正の仮定のもとでは、これらの回路は 50 万個未満の物理量子ビット規模で実行できる。
従来の主流推計 [5][6] と比べて、この結果は総合指標である「時空体積」(spacetime volume)において明確な改善が見られる。さらに重要なのは、もともと偏って理論的だった議論を、比較でき、追跡できる一連の工学パラメータへと変換した点にある。
リソース推計に加えて、論文は攻撃時間の直感的な規模感も提示している。
量子ゲート操作時間がマイクロ秒級であると仮定し、一定の実行オーバーヘッドを考慮すると、関連する量子回路を完全に実行するのに必要な時間はおおむね十数分になる。量子アルゴリズムの一部の計算は公鍵が登場する前に事前に完了でき、実際に目標の公鍵に関連する計算はおおよそ半分の時間に圧縮できると考えることで、「約 9 分」という見積もりが得られる。
この数字が広く注目されたのは、それがビットコインの平均的なブロック生成時間である約 10 分に近いためだ。つまり、ある種の仮定のもとでは、攻撃者は理論上、取引の確認が行われる前に秘密鍵の復元を完了できる可能性がある。
強調しておくべきは、この時間見積もりが一式の理想化された前提に依存している点である。その意味は、現実の攻撃能力を直接示すものというより、規模感の参照を提供することにある。
論文のもう 1 つの重要な特徴は、具体的な量子回路を公開しない前提で、「検証可能な開示」(可検証な開示)の方式を導入したことだ [7]。
研究チームは回路をハッシュでコミットし、公にされた検証プロシージャで、ランダムな入力に対する回路の振る舞いを検査し、さらに資源上界を検証する。これらの検証プロセスはゼロ知識証明としてカプセル化されており、任意の第三者が回路の詳細に触れることなく、関連する主張の正しさを確認できる。
このやり方は、「攻撃の詳細を保護すること」と「結論の信頼性を高めること」の間でバランスを取っており、資源推計が研究者の陳述にとどまらず、暗号学的に検証可能な性質を持つようになっている。
これらの結果をさらに理解する前に、まず明確にしておくべき概念がある。
論文では複数回、CRQC(Cryptographically Relevant Quantum Computer) へ言及している。この用語を直訳すれば「暗号学的に関連のある量子コンピュータ」だが、これは量子コンピュータ一般を指すのではない。現実の暗号解析能力をすでに備えた量子計算システムを指している。言い換えれば、ブロックチェーン業界が本当に注目すべきなのは、量子計算が今後も進歩し続けるかどうかではなく、それが現実条件下で ECDLP のような暗号問題を解読できるほどにいつ到達するかだ。
この観点から見ると、Google の今回の取り組みの意義は、量子計算の進展を示すことにとどまらない。より具体的に次の問いへ答えている。現実の暗号システムに対して脅威となり得る量子計算機には、どのようなリソース規模、実行能力、時間特性が必要なのか?
さらに言えば、この問いは 3 つの次元から理解できる。量子計算システムの実行特性、技術進化がもたらし得る異なる進路、そしてそれらの能力が最終的に対応する攻撃方式。
論文が提示した重要な視点は、異なるタイプの量子計算アーキテクチャを区別することだ。
一部のプラットフォーム(超伝導量子ビットなど)は基本操作の速度が速く、誤り訂正の周期も短いため、短時間内に深い回路を実行できる可能性がある。一方、別のプラットフォーム(イオントラップ [14] や中性原子)は操作速度が遅いが、別の面で優位性を持ち得る。
このような違いは、「量子計算能力」が単一の指標ではないことを意味している。同じ規模の量子システムでも、異なるアーキテクチャのもとでは、暗号学的問題に対する実際の攻撃能力に桁(オーダー)の差が生じ得る。
この実行特性の違いは、CRQC が形成される方法と時間構造に直接影響する。あるシステムは短い時間ウィンドウで計算を完了することにより近く、別のシステムは長時間の運用により適している。
上記のアーキテクチャの違いを踏まえると、量子計算能力の進化経路はさらに次のように考えられる。
1 つは、より速い実行能力を持つ量子システムが先にフォールトトレラントの水準に到達するケースで、この場合、チェーン上の取引に対するリアルタイム攻撃(たとえば取引確認の前に秘密鍵を復元すること)が主要なリスクになる。他のケースとして、より遅いがより安定したシステムが先にブレークスルーを得る場合には、攻撃は長期にわたって露出している公鍵により集中しやすい。例えば、過去のアドレスや、同じ鍵を繰り返し使っている場合の公鍵だ。
これら 2 つの経路は相互に排他的ではないが、リスクの時間構造と防御上の重点には明確な違いがある。
この観点から言えるのは、CRQC の出現は必ずしも明確な 1 つの時点に対応せず、むしろ異なる能力が段階的に揃っていく過程として現れる可能性が高いということだ。
上記の枠組みにおいて、量子攻撃はおおよそ 3 種類に分類できる。
第 1 は「取引中攻撃」(on-spend attack)で、取引がメモリプールに入りブロックに書き込まれるまでの時間ウィンドウ内で秘密鍵を復元するものだ。第 2 は「静的攻撃」(at-rest attack)で、すでに長期間チェーン上に露出している公鍵を対象とし、攻撃者にはより十分な計算時間が与えられる。第 3 は「セットアップ攻撃」(on-setup attack)で、一部の公共パラメータに依存するプロトコルに対し、1 回の量子計算で得られたバックドアを反復利用できるものを指す。
これら 3 つの攻撃の共通点は、いずれも同じ基礎能力に依存していることだ——許容される時間内に ECDLP を解くこと。ただし、時間ウィンドウとシステム構造への依存の仕方はそれぞれ異なる。
結果として、これら 3 つの攻撃は同一の事柄の別の表れにすぎない。つまり、量子計算能力が CRQC が示す水準に到達した後、異なるシステム条件と時間制約のもとで具体的にどのように影響が出るか、という話になる。
強調しておく必要がある。このホワイトペーパーは量子リスクの工学的評価を大きく前進させているものの、CRQC が現実に近づいていることを証明しているわけでもなければ、既存のブロックチェーン体系が短期的に現実に成立する量子攻撃に直面することを証明しているわけでもない。
論文が実際に行ったのは、明確な仮定のもとで secp256k1 を解読するための必要リソース推計をさらに圧縮し、もともとやや抽象的だったリスク議論を、より工学的評価に適した位置へと前進させたことだ。証明されたのは次の点である。関連する問題は、過去の理解よりも具体的であり、かつ継続的に追跡する価値が高い。しかし同時に、それらの攻撃を支える大規模なフォールトトレラント量子システムがすでにすぐそこにあることまでは証明していない。
さらに言えば、「量子アルゴリズムは理論上 ECDLP を解ける」から、「現実世界で暗号システムを脅かすのに十分な量子計算能力が本当に現れる」までの間にあるのは、単なる工学的な拡大(スケールアップ)の問題だけではない。量子攻撃が実際に成立するかを決めるのは、紙の上のリソース推計の数字だけではなく、フォールトトレラントのアーキテクチャ、誤り訂正、リアルタイム復号、制御システム、そして長時間安定して深い回路を実行するための全体的なシステム能力も含まれる。
これらの条件の一部は、確かに工学的な実装の問題に該当する。しかし、それを単純に「投入し続ければ、いずれ自然に解決される」というふうに理解することはできない。量子誤り訂正とフォールトトレラント計算は理論上、拡張可能な道筋を提示しているが、現実世界でこれらの条件を本当に統合し、持続的に稼働でき、現実の暗号システムを脅かし得る CRQC を作れるのかには、明確な不確実性が残っている。
この観点から見ると、Google の今回のホワイトペーパーのより正確な意味は、量子攻撃が迫っていると宣言することではない。業界が初めて、より具体的な工学パラメータでこのリスクについて議論できるようにしたこと、そして同時に「リソース推計の低下を、現実の攻撃能力が整ったことに直結させるべきではない」と注意を促したことにある。
だからこそ、量子攻撃の到来は、精密に予測できる時点として理解すべきではない。ブロックチェーン業界にとって本当に重要なのは、「いつ CRQC が必ず出現するか」ではなく、関連能力がより警戒すべき方向へ進化しているかどうかだ。
一方では、重要なブレークスルーにより短期間で必要リソースが大きく変わる可能性がある。他方で、見た目が近い技術ルートでも、長期にわたり特定の基礎的ボトルネックの前で足踏みするかもしれない。つまり、「今年は何ビット、来年は何ビット」という線形外挿によって、現実の攻撃能力がいつ出現するかを判断するのは難しい。
したがって、この問題へのより堅実な理解は、特定の精密な年に賭けることではなく、強い不確実性があることを認めつつ、リスク判断を本当に変える下層のシグナルに焦点を当てることだ。
これはまた、コミュニティが「量子攻撃の公開デモ」によって明確な警告シグナルが得られることを期待すべきではない、ということも意味している。
多くの人は公開デモを技術成熟の合図として捉えがちだ。現実世界でデモがまだ見えていないなら、本当の脅威からは遠いのだろうと思う。しかし量子暗号解析という問題では、この直感が必ずしも成立するとは限らない。ある種の象徴的なデモが本当に現れた時には、関連能力はすでにより下層の技術段階でかなり長い期間蓄積されている可能性があり、防御ウィンドウはすでに明確に狭まっているかもしれない。
ブロックチェーン業界にとって、これはまさに最も扱いにくい点だ。本当に重要な変化は、明確で、段階的で、対外的に見える形で展開されるとは限らない。
第 3 章が「今どのあたりにいるのか」を答えているとすれば、次の問題はこうなる。将来は何を見れば、より正確に量子の進展を判断できるのか。
最も拡散されやすく、また誤解されやすい指標は量子ビット数だ。直感的で、目立ちやすい。しかし暗号解析能力の観点では、それは唯一でもなく、まして最重要指標でもない。単純に物理量子ビット数を増やすだけでは、システムが現実の攻撃能力に近づいたことを自動的に意味しない。
本当に注目すべきは、これらの量子ビットが誤り訂正条件下で効果的に組織化できるかどうか、深い回路の実行を安定的に支えられるかどうか、さらにアルゴリズムと制御システムの間で閉ループが形成されているかどうかだ。業界にとって「何ビットあるか」は、せいぜい規模の変化を示すにとどまり、現実の脅威がどれくらい近いかを単独で説明することはできない。
量子の進展を相対的に実務可能な判断枠組みに落とすなら、次の 3 種類のシグナルに重点を置くとよい。
第 1 はハードウェアのシグナルだ。ここで本当に重要なのは、物理量子ビット数だけではなく、安定した論理量子ビットが出現し始めているか、誤り校正が拡張可能な段階に入っているか、そしてシステムが誤り訂正条件下で継続的に稼働できるかどうかだ。
第 2 はアルゴリズムのシグナルだ。今回のホワイトペーパー自体が典型例である。ブロックチェーン業界にとって、注目すべきなのは単一の数字そのものではなく、こうした資源推計が継続的に低下しているかだ。論理量子ビット数は減っているのか、重要なゲート操作回数は減っているのか、全体の時空体積は引き続き収束しているのか。
第 3 はシステムのシグナルだ。これは最も見落とされやすい。たとえハードウェアとアルゴリズムが進歩していても、システムとしての能力が徐々に成熟しているかを見る必要がある。たとえば、長時間安定して深い回路を実行できる能力、制御システムの拡張性、そして複数の重要条件が同時に満たされ始めているかどうかだ。現実の攻撃能力は、最終的に単一指標ではなく、これらの条件が合流して一つの閉じた工学プロセスになるかどうかに依存する。
多くの人は、ある「象徴的な瞬間」を自然に期待する。たとえば、ある実験プラットフォームが小規模な回路で関連アルゴリズムを公開デモし、その結果としてリスクが本格的に顕在化し始めたサインだと見なす。
そのようなシグナルには確かに参考価値がある。しかし、それを唯一の判断根拠にしてはいけない。技術進化の観点からすると、公のデモは往々にして「結果」であって、最も早い段階での変化そのものではないからだ。より本質的なのは、前述した下層の条件がすでに段階的に揃ってきているかどうかだ。
業界にとってより現実的なやり方は、ドラマチックな瞬間を待つのではなく、継続的に追跡する習慣を作ることだ。ハードウェアが新しい段階に入ったのか、アルゴリズムの資源圧縮が続いているのか、システム能力が「分散的な改善」から「全体として形ができていく」方向へ進んでいるのかを見ること。 「いつデモが見えるか」よりも、次の問いのほうが重要だ。デモを見る前から、技術進展の方向性は理解できているのか?
工学的な現実から見ると、量子計算はまだ、既存の暗号資産システムに対する攻撃能力を持っていない。ハードウェア規模、誤り制御、あるいは深い回路を長時間安定して実行する能力のいずれの面でも、論文が仮定した条件との間には依然として明確なギャップがある。
しかし、それは業界がこの問題を無期限に先送りしてよいという意味ではない。過去と比べて重要な変化は、関連する技術ルートがますます明確になり、リソース推計も継続的に収束してきている点だ。ブロックチェーンシステムにとって本当に注目すべきは、特定の時点ではなく、未来の移行に向けて十分な時間と空間(猶予)を確保できているかどうかだ。
暗号学的インフラのアップグレードは、しばしば単発のソフトウェア置換ではない。それには、プロトコル、実装、エコシステムの協調、資産移行、そしてユーザーの習慣の変化が関わる。時間スケールは通常、月や四半期ではなく「年」で計る必要がある。この観点では、「いま突然爆発する」問題ではないが、できるだけ早く計画に入るべき問題になっている。
量子計算が直接的に突きつけるのは、ブロックチェーンシステムの根底が依存する暗号学上の仮定、例えば楕円曲線ベースの署名方式であって、ブロックチェーンシステムそのものが一つの安全システムとして直面する問題そのものではない。
つまり、今日すでに有効と証明されている多くの安全メカニズムは、量子計算の登場によって価値を失うわけではない。ブロックチェーンおよびデジタル資産業界にとって、鍵管理、多者計算(MPC)、ハードウェア分離(TEE)、権限管理、監査メカニズム、そしてアカウント体系、取引承認、風控およびガバナンスのために構築された全体的な安全アーキテクチャが解決しているのは、鍵露出、単一障害点、内部リスク、操作ミスといった現実的な問題である。これらの問題は、基盤となる暗号学的プリミティブが変化しても消えない。
したがって、より合理的な理解は「量子時代には、ブロックチェーンの安全体系をすべて作り直す必要がある」ではなく、次のようになる。まずアップグレードが必要なのは、基底となる暗号学コンポーネントであり、保持し強化すべきなのは、鍵保護、権限の階層化、リスクの分離、ガバナンス制御に関してブロックチェーンシステムがすでに形成してきた設計原則である。 真に重要なのは、単にある署名アルゴリズムを置き換えることだけではなく、この種の暗号学移行を支える能力をシステム全体が持てるようにすることだ。
現在、ポスト量子暗号は標準化と工学的な実装の段階に入っている。NIST が主導する最初の PQC 標準は 2024 年に正式に発表された [12] が、異なる方式は性能、署名サイズ、実装の複雑さ、そして安全性の仮定において依然として大きな差がある。工学的な実践や業界の採用ルートも、まだ進化し続けている。
このような背景のもとでは、特定の具体的アルゴリズムに早すぎる賭けをするよりも、より重要な問題が変化しつつある。すなわち、システムが円滑に移行できる能力を持っているかどうかだ。
この能力にはいくつかの側面がある。業務の継続性を損なわずに新しい署名方式を導入できるか、一定期間混合モードをサポートできるか、そして標準や工学的実践が引き続き進化していく中で、それに対しても調整・互換性を保てるかどうか。
長期的には、ブロックチェーン業界が本当に構築すべきなのは「ポスト量子アルゴリズムを採用する能力」だけではなく、「暗号学が継続的に変化することに対応する能力」だ。前者は一回の移行だが、後者は長期的に持続可能なシステム設計につながる。
今日の工学的な現実から見ると、量子計算はなお、既存の暗号資産システムに対する実際の脅威にはなっていない。ハードウェア規模、誤り制御、また長時間安定して深い回路を実行するために必要なフォールトトレラント能力のいずれを見ても、論文が仮定した条件との差は明確に残っている。言い換えれば、CRQC は「時間が来れば自然に実現する」技術ではなく、その実現は、まだ完全には越えていない一連の工学的課題に依存している。
しかし同時に、この問題はもはや遠い未来の抽象的な議論として扱うべきでもない。Google は 2026 年 3 月に、自身のポスト量子移行のタイムラインを 2029 年 に設定した [8]。英国 NCSC は 2028、2031、2035 の 3 つの移行における重要マイルストーンを提示した [9]。G7 Cyber Expert Group は金融システム向けのロードマップとしては規制上の deadline は置かないものの、全体の移行目標として 2035 を挙げ、主要システムは 2030~2032 の間に優先的に移行を完了することを推奨している [10]。
また、過度に読み解くことも避ける必要がある。現時点の主要な公開資料を見る限り、たとえ比較的強気な公開判断であっても、リスクウィンドウを前倒しして 2030 年前後 に置くことが多く、「CRQC が 2030 年までに明確に実現する」という一致した結論が形成されているわけではない。Global Risk Institute の 2025 年の専門家調査では、今後 10 年以内に CRQC が出現するのは「quite possible(28%–49%)」であり、15 年以内に「likely(51%–70%)」の区間へ入るとしている [11]。
したがって、Google のこのホワイトペーパーの最も重要な意義は、量子攻撃がすでに到来したと宣言することではない。むしろ、この問題を初めて十分に具体化したことにある。議論でき、評価でき、そして準備を始めるべきだという状態にした。ブロックチェーンおよびデジタル資産業界にとって、2030~2035 は真剣に受け止め、移行のための余地を確保しておくべき重要なウィンドウだ。それは量子攻撃が本当に到来する具体的な年を示すとは限らないが、少なくとも、その時点までに業界が落ち着いて対処できる余裕をまだ持っていられるかどうかを左右する可能性が高い。
124.19K 人気度
103.47K 人気度
21.42K 人気度
1.31M 人気度
458.85K 人気度
9 分钟でビットコインを解読?Google量子白書の境界と誤解
文:Max He @ Safeheron Lab
本記事の中核的な判断
Google のホワイトペーパーは量子リスクの工学的な評価を大きく前進させたが、CRQC が現実にかなり近づいていることは証明していない
いくつかのリソース推計の低下 ≠ 現実の攻撃能力がすでに整ったことを意味し、間にはまだ大量の越えられていない工学的課題がある
業界が構築すべきなのは「ポスト量子アルゴリズムを採用する」能力だけではなく、「暗号学の継続的な変化に対応する」能力である
2030–2035 は、量子攻撃が到来する正確な時点ではなく、逆算して移行準備を進めるための重要な基準となるウィンドウだ
2026 年 3 月 30 日、Google Quantum AI は、イーサリアム財団およびスタンフォード大学の研究者と共同で、注目のホワイトペーパー [1] を発表した。この 57 ページにわたる論文は、量子計算が暗号資産にもたらす脅威を体系的に分析し、これまでで最も過激なリソース推計を提示している。ビットコインとイーサリアムが依存する 256 ビット楕円曲線暗号を解読するのに、50 万個未満の物理量子ビットで済む——これは、従来の最良の推計から約 20 倍も縮小されたことになる。
同時に、論文は量子攻撃の議論をビットコインから暗号資産全体のエコシステムへ拡張し、さらに、イーサリアムにおけるスマートコントラクト、ステーキングに基づくコンセンサス、データ利用可能性サンプリングなどの仕組みの中にも、同様に潜在的な量子攻撃面が存在することを指摘している。つまり、このホワイトペーパーが扱っているのはもはや「ビットコインの秘密鍵が量子で解読されるかどうか」という単一の論点だけではなく、業界全体に対して次の見直しを促しているのだ。量子能力が進化していく局面で、既存のブロックチェーンシステムにはどの安全性に関する仮定が再評価の対象になり得るのか。
このホワイトペーパーは、ブロックチェーン業界において明確な動揺を引き起こした。「量子計算は数分でビットコインを解読できる」という主張が急速に広まり、多くの従事者が既存の安全性仮定を再考し始めた。その強い反応の理由は、リソース推計がさらに下がったからだけではない。加えて、この論文が初めて「オンチェーン取引のウィンドウ攻撃が可能かどうか」と「ブロックチェーンシステムが移行を完了するのに間に合うのか」を、同じ議論の平面上に置いたからでもある。問題はもはや、学術的な「解読できるのか」という問いだけではなく、工学およびガバナンスの「準備するのに十分な時間はまだあるのか」という問いになっていった。
しかし、こうした感情の背後にあって、より問う価値のあるのは次の問いだ。Google は実際に何を証明したのか? そして何を証明していないのか? この取り組みは、量子リスクに対する私たちの理解をどの程度変えたのか?
注目すべき点として、このホワイトペーパーが論じる影響範囲は、ビットコイン型の鍵露出問題に限定されない。より広義の暗号資産システムの攻撃面へと広がっている。ただし、本記事がより重視しているのは、個別のオンチェーン機構の具体的な影響を順番に展開することではなく、この取り組みが全体の量子リスク評価にもたらす変化である。
1 Google は今回いったい何をしたのか?
1.1 ECDLP:ブロックチェーン安全性の基本仮定
現在の主流暗号資産の安全性は、楕円曲線離散対数問題(ECDLP)に基づいている [2]。たとえばビットコインとイーサリアムで使われる secp256k1 曲線 [3] を例にすると、その中核となる仮定はこうだ。古典計算の条件のもとでは、公鍵(楕円曲線上の点)が与えられても、それに対応する秘密鍵を実行可能な時間内に導出することはできない。
この仮定は過去数十年にわたり広く受け入れられ、ブロックチェーンシステム全体の基礎となる安全性の前提を構成してきた。しかし Shor アルゴリズム [4] は、理想化された量子計算モデルにおいて ECDLP は効率的に解けるため、この安全性の基盤が理論上揺らぐことを指摘している。
1.2 リソース推計:解読に必要な量子計算能力はどれくらいか
Google の今回の取り組みの中心は、新しい攻撃方式を提案することではなく、長く存在してきた問いに改めて答えることにある。つまり、将来本当に十分に大きく、十分に安定し、こうした量子アルゴリズムを実行できる量子コンピュータが作られるとしたら、ECDLP を解読するのにどれほどの計算リソースが必要になるのか?
論文は secp256k1 向けの量子回路を構成し、最適化を行い、2 つの異なる最適化方針にもとづく実装パスを提示している。1 つは可能な限り論理量子ビット数を減らすこと、もう 1 つは可能な限り非 Clifford ゲート(Toffoli ゲートなど)の数を減らすことだ。明確なハードウェアと誤り訂正の仮定のもとでは、これらの回路は 50 万個未満の物理量子ビット規模で実行できる。
従来の主流推計 [5][6] と比べて、この結果は総合指標である「時空体積」(spacetime volume)において明確な改善が見られる。さらに重要なのは、もともと偏って理論的だった議論を、比較でき、追跡できる一連の工学パラメータへと変換した点にある。
1.3「9 分」:この数字はどうして出てくるのか
リソース推計に加えて、論文は攻撃時間の直感的な規模感も提示している。
量子ゲート操作時間がマイクロ秒級であると仮定し、一定の実行オーバーヘッドを考慮すると、関連する量子回路を完全に実行するのに必要な時間はおおむね十数分になる。量子アルゴリズムの一部の計算は公鍵が登場する前に事前に完了でき、実際に目標の公鍵に関連する計算はおおよそ半分の時間に圧縮できると考えることで、「約 9 分」という見積もりが得られる。
この数字が広く注目されたのは、それがビットコインの平均的なブロック生成時間である約 10 分に近いためだ。つまり、ある種の仮定のもとでは、攻撃者は理論上、取引の確認が行われる前に秘密鍵の復元を完了できる可能性がある。
強調しておくべきは、この時間見積もりが一式の理想化された前提に依存している点である。その意味は、現実の攻撃能力を直接示すものというより、規模感の参照を提供することにある。
1.4 ゼロ知識証明:なぜ回路を公開しないのか
論文のもう 1 つの重要な特徴は、具体的な量子回路を公開しない前提で、「検証可能な開示」(可検証な開示)の方式を導入したことだ [7]。
研究チームは回路をハッシュでコミットし、公にされた検証プロシージャで、ランダムな入力に対する回路の振る舞いを検査し、さらに資源上界を検証する。これらの検証プロセスはゼロ知識証明としてカプセル化されており、任意の第三者が回路の詳細に触れることなく、関連する主張の正しさを確認できる。
このやり方は、「攻撃の詳細を保護すること」と「結論の信頼性を高めること」の間でバランスを取っており、資源推計が研究者の陳述にとどまらず、暗号学的に検証可能な性質を持つようになっている。
2 これはどう理解すべきか?
これらの結果をさらに理解する前に、まず明確にしておくべき概念がある。
論文では複数回、CRQC(Cryptographically Relevant Quantum Computer) へ言及している。この用語を直訳すれば「暗号学的に関連のある量子コンピュータ」だが、これは量子コンピュータ一般を指すのではない。現実の暗号解析能力をすでに備えた量子計算システムを指している。言い換えれば、ブロックチェーン業界が本当に注目すべきなのは、量子計算が今後も進歩し続けるかどうかではなく、それが現実条件下で ECDLP のような暗号問題を解読できるほどにいつ到達するかだ。
この観点から見ると、Google の今回の取り組みの意義は、量子計算の進展を示すことにとどまらない。より具体的に次の問いへ答えている。現実の暗号システムに対して脅威となり得る量子計算機には、どのようなリソース規模、実行能力、時間特性が必要なのか?
さらに言えば、この問いは 3 つの次元から理解できる。量子計算システムの実行特性、技術進化がもたらし得る異なる進路、そしてそれらの能力が最終的に対応する攻撃方式。
2.1 ファストクロックとスロークロック:量子コンピュータは 1 種類だけではない
論文が提示した重要な視点は、異なるタイプの量子計算アーキテクチャを区別することだ。
一部のプラットフォーム(超伝導量子ビットなど)は基本操作の速度が速く、誤り訂正の周期も短いため、短時間内に深い回路を実行できる可能性がある。一方、別のプラットフォーム(イオントラップ [14] や中性原子)は操作速度が遅いが、別の面で優位性を持ち得る。
このような違いは、「量子計算能力」が単一の指標ではないことを意味している。同じ規模の量子システムでも、異なるアーキテクチャのもとでは、暗号学的問題に対する実際の攻撃能力に桁(オーダー)の差が生じ得る。
この実行特性の違いは、CRQC が形成される方法と時間構造に直接影響する。あるシステムは短い時間ウィンドウで計算を完了することにより近く、別のシステムは長時間の運用により適している。
2.2 2 つの可能な進化経路
上記のアーキテクチャの違いを踏まえると、量子計算能力の進化経路はさらに次のように考えられる。
1 つは、より速い実行能力を持つ量子システムが先にフォールトトレラントの水準に到達するケースで、この場合、チェーン上の取引に対するリアルタイム攻撃(たとえば取引確認の前に秘密鍵を復元すること)が主要なリスクになる。他のケースとして、より遅いがより安定したシステムが先にブレークスルーを得る場合には、攻撃は長期にわたって露出している公鍵により集中しやすい。例えば、過去のアドレスや、同じ鍵を繰り返し使っている場合の公鍵だ。
これら 2 つの経路は相互に排他的ではないが、リスクの時間構造と防御上の重点には明確な違いがある。
この観点から言えるのは、CRQC の出現は必ずしも明確な 1 つの時点に対応せず、むしろ異なる能力が段階的に揃っていく過程として現れる可能性が高いということだ。
2.3 3 つの攻撃方式
上記の枠組みにおいて、量子攻撃はおおよそ 3 種類に分類できる。
第 1 は「取引中攻撃」(on-spend attack)で、取引がメモリプールに入りブロックに書き込まれるまでの時間ウィンドウ内で秘密鍵を復元するものだ。第 2 は「静的攻撃」(at-rest attack)で、すでに長期間チェーン上に露出している公鍵を対象とし、攻撃者にはより十分な計算時間が与えられる。第 3 は「セットアップ攻撃」(on-setup attack)で、一部の公共パラメータに依存するプロトコルに対し、1 回の量子計算で得られたバックドアを反復利用できるものを指す。
これら 3 つの攻撃の共通点は、いずれも同じ基礎能力に依存していることだ——許容される時間内に ECDLP を解くこと。ただし、時間ウィンドウとシステム構造への依存の仕方はそれぞれ異なる。
結果として、これら 3 つの攻撃は同一の事柄の別の表れにすぎない。つまり、量子計算能力が CRQC が示す水準に到達した後、異なるシステム条件と時間制約のもとで具体的にどのように影響が出るか、という話になる。
3 真の量子攻撃までどれくらい遠いのか?
3.1 このホワイトペーパーは何も「証明」していない
強調しておく必要がある。このホワイトペーパーは量子リスクの工学的評価を大きく前進させているものの、CRQC が現実に近づいていることを証明しているわけでもなければ、既存のブロックチェーン体系が短期的に現実に成立する量子攻撃に直面することを証明しているわけでもない。
論文が実際に行ったのは、明確な仮定のもとで secp256k1 を解読するための必要リソース推計をさらに圧縮し、もともとやや抽象的だったリスク議論を、より工学的評価に適した位置へと前進させたことだ。証明されたのは次の点である。関連する問題は、過去の理解よりも具体的であり、かつ継続的に追跡する価値が高い。しかし同時に、それらの攻撃を支える大規模なフォールトトレラント量子システムがすでにすぐそこにあることまでは証明していない。
3.2 リソース需要は低下しているが、工学的な距離はなお明確
さらに言えば、「量子アルゴリズムは理論上 ECDLP を解ける」から、「現実世界で暗号システムを脅かすのに十分な量子計算能力が本当に現れる」までの間にあるのは、単なる工学的な拡大(スケールアップ)の問題だけではない。量子攻撃が実際に成立するかを決めるのは、紙の上のリソース推計の数字だけではなく、フォールトトレラントのアーキテクチャ、誤り訂正、リアルタイム復号、制御システム、そして長時間安定して深い回路を実行するための全体的なシステム能力も含まれる。
これらの条件の一部は、確かに工学的な実装の問題に該当する。しかし、それを単純に「投入し続ければ、いずれ自然に解決される」というふうに理解することはできない。量子誤り訂正とフォールトトレラント計算は理論上、拡張可能な道筋を提示しているが、現実世界でこれらの条件を本当に統合し、持続的に稼働でき、現実の暗号システムを脅かし得る CRQC を作れるのかには、明確な不確実性が残っている。
この観点から見ると、Google の今回のホワイトペーパーのより正確な意味は、量子攻撃が迫っていると宣言することではない。業界が初めて、より具体的な工学パラメータでこのリスクについて議論できるようにしたこと、そして同時に「リソース推計の低下を、現実の攻撃能力が整ったことに直結させるべきではない」と注意を促したことにある。
3.3 これは精密に「年」を予測できる問題ではない
だからこそ、量子攻撃の到来は、精密に予測できる時点として理解すべきではない。ブロックチェーン業界にとって本当に重要なのは、「いつ CRQC が必ず出現するか」ではなく、関連能力がより警戒すべき方向へ進化しているかどうかだ。
一方では、重要なブレークスルーにより短期間で必要リソースが大きく変わる可能性がある。他方で、見た目が近い技術ルートでも、長期にわたり特定の基礎的ボトルネックの前で足踏みするかもしれない。つまり、「今年は何ビット、来年は何ビット」という線形外挿によって、現実の攻撃能力がいつ出現するかを判断するのは難しい。
したがって、この問題へのより堅実な理解は、特定の精密な年に賭けることではなく、強い不確実性があることを認めつつ、リスク判断を本当に変える下層のシグナルに焦点を当てることだ。
3.4 最も警戒すべきは、予兆シグナルが必ずしも明確でない可能性だ
これはまた、コミュニティが「量子攻撃の公開デモ」によって明確な警告シグナルが得られることを期待すべきではない、ということも意味している。
多くの人は公開デモを技術成熟の合図として捉えがちだ。現実世界でデモがまだ見えていないなら、本当の脅威からは遠いのだろうと思う。しかし量子暗号解析という問題では、この直感が必ずしも成立するとは限らない。ある種の象徴的なデモが本当に現れた時には、関連能力はすでにより下層の技術段階でかなり長い期間蓄積されている可能性があり、防御ウィンドウはすでに明確に狭まっているかもしれない。
ブロックチェーン業界にとって、これはまさに最も扱いにくい点だ。本当に重要な変化は、明確で、段階的で、対外的に見える形で展開されるとは限らない。
4 量子の進展をどう判断する?
4.1 量子ビット数だけを見るな
第 3 章が「今どのあたりにいるのか」を答えているとすれば、次の問題はこうなる。将来は何を見れば、より正確に量子の進展を判断できるのか。
最も拡散されやすく、また誤解されやすい指標は量子ビット数だ。直感的で、目立ちやすい。しかし暗号解析能力の観点では、それは唯一でもなく、まして最重要指標でもない。単純に物理量子ビット数を増やすだけでは、システムが現実の攻撃能力に近づいたことを自動的に意味しない。
本当に注目すべきは、これらの量子ビットが誤り訂正条件下で効果的に組織化できるかどうか、深い回路の実行を安定的に支えられるかどうか、さらにアルゴリズムと制御システムの間で閉ループが形成されているかどうかだ。業界にとって「何ビットあるか」は、せいぜい規模の変化を示すにとどまり、現実の脅威がどれくらい近いかを単独で説明することはできない。
4.2 本当に注目すべきは 3 種類のシグナル
量子の進展を相対的に実務可能な判断枠組みに落とすなら、次の 3 種類のシグナルに重点を置くとよい。
第 1 はハードウェアのシグナルだ。ここで本当に重要なのは、物理量子ビット数だけではなく、安定した論理量子ビットが出現し始めているか、誤り校正が拡張可能な段階に入っているか、そしてシステムが誤り訂正条件下で継続的に稼働できるかどうかだ。
第 2 はアルゴリズムのシグナルだ。今回のホワイトペーパー自体が典型例である。ブロックチェーン業界にとって、注目すべきなのは単一の数字そのものではなく、こうした資源推計が継続的に低下しているかだ。論理量子ビット数は減っているのか、重要なゲート操作回数は減っているのか、全体の時空体積は引き続き収束しているのか。
第 3 はシステムのシグナルだ。これは最も見落とされやすい。たとえハードウェアとアルゴリズムが進歩していても、システムとしての能力が徐々に成熟しているかを見る必要がある。たとえば、長時間安定して深い回路を実行できる能力、制御システムの拡張性、そして複数の重要条件が同時に満たされ始めているかどうかだ。現実の攻撃能力は、最終的に単一指標ではなく、これらの条件が合流して一つの閉じた工学プロセスになるかどうかに依存する。
4.3 公開デモは参考になるが、唯一のシグナルにするな
多くの人は、ある「象徴的な瞬間」を自然に期待する。たとえば、ある実験プラットフォームが小規模な回路で関連アルゴリズムを公開デモし、その結果としてリスクが本格的に顕在化し始めたサインだと見なす。
そのようなシグナルには確かに参考価値がある。しかし、それを唯一の判断根拠にしてはいけない。技術進化の観点からすると、公のデモは往々にして「結果」であって、最も早い段階での変化そのものではないからだ。より本質的なのは、前述した下層の条件がすでに段階的に揃ってきているかどうかだ。
業界にとってより現実的なやり方は、ドラマチックな瞬間を待つのではなく、継続的に追跡する習慣を作ることだ。ハードウェアが新しい段階に入ったのか、アルゴリズムの資源圧縮が続いているのか、システム能力が「分散的な改善」から「全体として形ができていく」方向へ進んでいるのかを見ること。 「いつデモが見えるか」よりも、次の問いのほうが重要だ。デモを見る前から、技術進展の方向性は理解できているのか?
5 量子の進展をどう判断する?
5.1 これは「今の問題」ではないが、今から準備が必要だ
工学的な現実から見ると、量子計算はまだ、既存の暗号資産システムに対する攻撃能力を持っていない。ハードウェア規模、誤り制御、あるいは深い回路を長時間安定して実行する能力のいずれの面でも、論文が仮定した条件との間には依然として明確なギャップがある。
しかし、それは業界がこの問題を無期限に先送りしてよいという意味ではない。過去と比べて重要な変化は、関連する技術ルートがますます明確になり、リソース推計も継続的に収束してきている点だ。ブロックチェーンシステムにとって本当に注目すべきは、特定の時点ではなく、未来の移行に向けて十分な時間と空間(猶予)を確保できているかどうかだ。
暗号学的インフラのアップグレードは、しばしば単発のソフトウェア置換ではない。それには、プロトコル、実装、エコシステムの協調、資産移行、そしてユーザーの習慣の変化が関わる。時間スケールは通常、月や四半期ではなく「年」で計る必要がある。この観点では、「いま突然爆発する」問題ではないが、できるだけ早く計画に入るべき問題になっている。
5.2 アルゴリズムは変わるが、ブロックチェーンのシステム設計を丸ごと覆す必要はない
量子計算が直接的に突きつけるのは、ブロックチェーンシステムの根底が依存する暗号学上の仮定、例えば楕円曲線ベースの署名方式であって、ブロックチェーンシステムそのものが一つの安全システムとして直面する問題そのものではない。
つまり、今日すでに有効と証明されている多くの安全メカニズムは、量子計算の登場によって価値を失うわけではない。ブロックチェーンおよびデジタル資産業界にとって、鍵管理、多者計算(MPC)、ハードウェア分離(TEE)、権限管理、監査メカニズム、そしてアカウント体系、取引承認、風控およびガバナンスのために構築された全体的な安全アーキテクチャが解決しているのは、鍵露出、単一障害点、内部リスク、操作ミスといった現実的な問題である。これらの問題は、基盤となる暗号学的プリミティブが変化しても消えない。
したがって、より合理的な理解は「量子時代には、ブロックチェーンの安全体系をすべて作り直す必要がある」ではなく、次のようになる。まずアップグレードが必要なのは、基底となる暗号学コンポーネントであり、保持し強化すべきなのは、鍵保護、権限の階層化、リスクの分離、ガバナンス制御に関してブロックチェーンシステムがすでに形成してきた設計原則である。 真に重要なのは、単にある署名アルゴリズムを置き換えることだけではなく、この種の暗号学移行を支える能力をシステム全体が持てるようにすることだ。
5.3 「どのアルゴリズムを選ぶか」から「円滑に移行できるか」へ
現在、ポスト量子暗号は標準化と工学的な実装の段階に入っている。NIST が主導する最初の PQC 標準は 2024 年に正式に発表された [12] が、異なる方式は性能、署名サイズ、実装の複雑さ、そして安全性の仮定において依然として大きな差がある。工学的な実践や業界の採用ルートも、まだ進化し続けている。
このような背景のもとでは、特定の具体的アルゴリズムに早すぎる賭けをするよりも、より重要な問題が変化しつつある。すなわち、システムが円滑に移行できる能力を持っているかどうかだ。
この能力にはいくつかの側面がある。業務の継続性を損なわずに新しい署名方式を導入できるか、一定期間混合モードをサポートできるか、そして標準や工学的実践が引き続き進化していく中で、それに対しても調整・互換性を保てるかどうか。
長期的には、ブロックチェーン業界が本当に構築すべきなのは「ポスト量子アルゴリズムを採用する能力」だけではなく、「暗号学が継続的に変化することに対応する能力」だ。前者は一回の移行だが、後者は長期的に持続可能なシステム設計につながる。
6 結語:重要な技術シグナル
今日の工学的な現実から見ると、量子計算はなお、既存の暗号資産システムに対する実際の脅威にはなっていない。ハードウェア規模、誤り制御、また長時間安定して深い回路を実行するために必要なフォールトトレラント能力のいずれを見ても、論文が仮定した条件との差は明確に残っている。言い換えれば、CRQC は「時間が来れば自然に実現する」技術ではなく、その実現は、まだ完全には越えていない一連の工学的課題に依存している。
しかし同時に、この問題はもはや遠い未来の抽象的な議論として扱うべきでもない。Google は 2026 年 3 月に、自身のポスト量子移行のタイムラインを 2029 年 に設定した [8]。英国 NCSC は 2028、2031、2035 の 3 つの移行における重要マイルストーンを提示した [9]。G7 Cyber Expert Group は金融システム向けのロードマップとしては規制上の deadline は置かないものの、全体の移行目標として 2035 を挙げ、主要システムは 2030~2032 の間に優先的に移行を完了することを推奨している [10]。
また、過度に読み解くことも避ける必要がある。現時点の主要な公開資料を見る限り、たとえ比較的強気な公開判断であっても、リスクウィンドウを前倒しして 2030 年前後 に置くことが多く、「CRQC が 2030 年までに明確に実現する」という一致した結論が形成されているわけではない。Global Risk Institute の 2025 年の専門家調査では、今後 10 年以内に CRQC が出現するのは「quite possible(28%–49%)」であり、15 年以内に「likely(51%–70%)」の区間へ入るとしている [11]。
したがって、Google のこのホワイトペーパーの最も重要な意義は、量子攻撃がすでに到来したと宣言することではない。むしろ、この問題を初めて十分に具体化したことにある。議論でき、評価でき、そして準備を始めるべきだという状態にした。ブロックチェーンおよびデジタル資産業界にとって、2030~2035 は真剣に受け止め、移行のための余地を確保しておくべき重要なウィンドウだ。それは量子攻撃が本当に到来する具体的な年を示すとは限らないが、少なくとも、その時点までに業界が落ち着いて対処できる余裕をまだ持っていられるかどうかを左右する可能性が高い。