2本の論文が重ね合わさり、暗号業界史上、最も深刻な量子脅威に関する警告を形作っています。
著者:カピ七ラ、ディープ潮 TechFlow
3月31日、Google Quantum AIチームがホワイトペーパーを公開しました。タイトルは平凡ですが、内容は衝撃的です。
論文の中核となる結論:ビットコインおよびイーサリアムウォレットの楕円曲線暗号(ECC-256)を解読するのに必要な量子計算資源は、これまでの推計より約20倍少なくて済む。具体的には、1200個未満の論理量子ビットと9000万個のToffoliゲートがあれば、超伝導量子コンピュータ上で物理量子ビット50万個未満を用いて解読でき、所要時間はわずか数分です。
同じ日、カリフォルニア工科大学と量子ハードウェアのスタートアップOratomicが別の論文を発表し、結論はさらに強気でした。中性原子アーキテクチャを採用する量子コンピュータなら、最低でも約10,000個の物理量子ビットで攻撃を開始でき、26,000個の量子ビットでECC-256を約10日以内に攻略できるとしています。
これら2本の論文が与える衝撃力を理解するには、タイムラインを見る必要があります。2012年、学界ではECC-256の解読には約10億個の物理量子ビットが必要だと推計していました。2023年、Daniel Litinskiの論文がこの数字を約900万個まで圧縮しました。Googleの新しい論文ではそれを50万個未満まで引き下げました。Oratomicはさらに一段階進め、10,000個まで圧縮しました。
20年間で、5つの桁が縮まった。
つまり、量子脅威の議論の枠組みが完全に変わってしまったということです。これまでの主流の語り口は「量子コンピュータが暗号を解読できるようになるまで、あと数十年」というものでした。ところが今は「ハードウェアの進展が非線形に加速しなければ、ウィンドウ期間はせいぜい5〜10年しかないかもしれない」というものになっています。Ethereum Foundationの研究員Justin Drake(彼はGoogle論文の共同著者でもあります)は、2032年までに量子コンピュータがsecp256k1のECDSA秘密鍵を解読できる確率は少なくとも10%になると見積もっています。
Google論文では、2種類の攻撃シナリオが説明されています。
1つ目は「即時攻撃」(on-spend attack)です。ビットコインのユーザーが取引を開始すると、公鍵が一時的にメモリプール内で露出します。十分に高速な量子コンピュータなら、約9分以内に公鍵から秘密鍵を逆算し、取引の確定前に競合取引を仕掛けて資金を奪うことができます。ビットコインの平均ブロック生成時間は約10分なので、論文はこの種の攻撃の成功確率を約41%と見積もっています。
暗号学の領域では、41%の解読確率は統計上の誤差ではなく、すでに破られた署名方式です。
2つ目は「静的攻撃」(at-rest attack)で、すでにブロックチェーン上に公開されている休眠ウォレットを対象にします。この種の攻撃には時間の制限がありません。量子コンピュータは自分のペースでゆっくり計算できます。論文は、約690万枚のBTC(総供給量の3分の1)がこのような露出状態にあり、その内訳には、サトシの時代の初期コイン由来の約170万枚と、アドレス再利用によって公鍵が露出した多くの資金が含まれると推定しています。
現在の価格なら、この690万枚のBTCの価値は4500億米ドルを超えます。
論文で意外な発見だったのは、ビットコインの2021年のTaprootアップグレードが、量子安全性の観点で新たな脆弱性を生み出したことです。Taprootは取引効率とプライバシーの向上を目的とし、Schnorr署名方式を採用しています。しかしSchnorr署名の特性として、公鍵はデフォルトでブロックチェーン上に公開されます。これにより、旧来のアドレス形式(P2PKH)にあった「先にハッシュしてから公開する」という保護層が取り除かれました。
言い換えると、Taprootは従来の安全性では改善でしたが、量子安全性の観点では扉を開けてしまったのです。これにより、量子による攻撃を受けやすいビットコインのプールは、初期コインや再利用アドレスに限定されず、Taprootを使うすべてのウォレットにまで広がりました。
ビットコインが「ウォレット単位」のリスクに直面しているのに対し、イーサリアムの問題は「インフラ単位」です。
Google論文は、イーサリアムが量子攻撃にさらされることが5つの層で起こり得ると指摘しています。個人ウォレット、スマートコントラクト管理鍵、PoSステーキングの検証、Layer 2ネットワーク、そしてデータ可用性サンプリングの仕組みです。論文は、イーサリアムの上位1000位までのウォレットが保有するのは約2050万枚のETHであり、9分ごとに1つの鍵を解読する量子コンピュータなら、9日以内にそれらすべてを空にできると見積もっています。現在のETH価格に基づけば、これらの資産価値は約415億米ドルです。
より深い問題は、システミック・リスクです。イーサリアム上の約2000億米ドルのステーブルコインおよびトークン化資産は、管理者鍵の署名に依存しており、また約3700万枚のステークETHは同じく攻撃されやすいデジタル署名によって認証されています。もし大規模なステーキングプールが破られれば、攻撃者は合意メカニズム自体に干渉できる可能性さえあります。
ただし、イーサリアムには構造的な優位性もあります。ブロック生成時間はわずか12秒で、大半の取引は1分以内に確定し、さらに大量にプライベートなメモリプールが使われています。これにより、イーサリアムでの「即時攻撃」の実現可能性は、ビットコインよりはるかに低くなります。
良いニュースは、イーサリアムコミュニティの対応がより積極的だということです。
Ethereum Foundationは先週、pq.ethereum.orgを立ち上げたばかりで、8年間のポスト量子研究成果を集約し、10以上のクライアントチームが毎週開発・テストネットを推進しています。Vitalik Buterinも以前、量子耐性のロードマップを公表していました。これに比べ、ビットコインコミュニティのガバナンス文化はより保守的です。BIP-360提案(量子耐性ウォレット形式の導入)は2月にBIPリポジトリへ統合されているものの、それは1種類の公鍵露出問題しか解決しません。完全な暗号学的移行には、さらに大規模なプロトコル変更が必要です。
暗号業界の反応は、予想どおりいくつかの陣営に分裂しました。
恐慌派はProject ElevenのCEO Alex Prudenが代表です。「この論文は、暗号業界が量子脅威を無視するために使ってきたあらゆる論点を、直接反論している」と述べています。DragonflyのパートナーHaseeb Qureshiは、X上でさらに踏み込んで「ポスト量子はもう演習ではない」と書きました。
理性的・楽観派はCZを代表に挙げることができます。彼は、暗号資産は量子耐性アルゴリズムへアップグレードすればよく、「恐慌になる必要はない」と考えています。この主張は技術的には正しいものの、重要な問題を見落としています。非中央集権型のブロックチェーンは、銀行や軍事ネットワークのようにソフトウェア更新を強制的に押し付けられないのです。ビットコインのインフラ移行期間は、ユーザーウォレットから取引所が対応し新しいアドレス形式へ移るまで、5〜10年かかる可能性があります。たとえ関係者が今日すでに合意していたとしてもです。
「何でも解読できる」派は、量子計算がブロックチェーンだけを脅かすのではないと指摘しています。世界の銀行システム、SWIFT送金、証券取引所、軍の通信、HTTPSのWebサイトもすべて、同様の暗号体系に依存しています。Google論文はこれに前向きに応答しています。中央集権システムはユーザーへ更新をプッシュできるが、非中央集権型ブロックチェーンはできない。これが根本的な違いです。
いちばん冷たいユーモアはマスクから:「少なくとも、もしウォレットのパスワードを忘れても、未来では取り戻せる。」
2本の論文はいずれも「純粋な学術」ではありません。
Caltech/Oratomicの論文の9人の著者は全員Oratomicの株主で、そのうち6人は同社の従業員です。この論文は、科学的成果であると同時に、中性原子ハードウェアのロードマップに関する同社の商業的な宣伝でもあります。Googleの論文も完全に中立とは言えません。Googleは、自社システムをポスト量子暗号へ移行する社内締切日を2029年に設定しており、論文の結論はこの商業的な意思決定と強く整合しています。さらにGoogleは安全上の理由から、実際の量子回路設計を公開せず、ゼロ知識証明を通じて米国政府に結果の妥当性を検証させたのです。
利益相反は割り引いて見る必要があるかもしれないが、トレンドそのものを割り引く必要はありません。「量子脅威は誇張されている」と誰かが言うたびに、次の論文では必要な量子ビット数をさらに1桁分切り詰めるのです。
現時点で最も先進的な量子コンピュータは、約6000個の量子ビットを持ち、かつコヒーレンス時間は約13秒にすぎません。6000個の量子ビットから、Google論文が要求する50万個(またはOratomicが主張する10,000個)へは、その間に巨大なエンジニアリングのギャップがまだあります。
しかし暗号投資家McKennaのたとえのほうが、覚えておく価値があるかもしれません。「Q-DayをY2Kのように想像していい。ただし今回は本物だ。」
StarkWareの共同創設者Eli Ben-Sassonは、ビットコインコミュニティに対してBIP-360の推進を加速するよう呼びかけています。Google自身も、Coinbase、スタンフォードのブロックチェーン研究所、そしてEthereum Foundationと協力して、責任ある移行を進めていると述べています。
論点はもはや「量子計算で暗号が解読できるのか」ではなく、「暗号業界が、ハードが追いつく前に移行を完了できるのか」になっています。Googleの2029年のタイムテーブルに加え、Oratomicの論文における量子ビット需要の急激な圧縮が示すことで、業界の猶予期間は、誰の予想よりも短いものになります。
サトシが眠らせた110万枚のBTCは、自分で量子安全なアドレスへ移行できません。もし量子コンピュータが先に到達してしまえば、価値700億米ドルを超えるこの数字の遺産は、史上最大の「デジタル座礁資産の引き揚げ」目標になるでしょう。Google論文は、このために「デジタル救出権」(digital salvage)の法的枠組みを例示として導入し、各国政府は移行できない休眠資産を扱うために立法が必要になる可能性があることを示唆しています。
これは、ビットコインのホワイトペーパーでは予見されていなかった問題です。数学的な財産防護の障壁そのものが破られた場合、「Code is Law」は成立し続けられるのでしょうか?
335.46K 人気度
61.52K 人気度
19.89K 人気度
340.07K 人気度
810K 人気度
9分でウォレットを解読:Googleの量子論文が暗号界に炸裂し、ビットコインの「Y2K時刻」が到来?
2本の論文が重ね合わさり、暗号業界史上、最も深刻な量子脅威に関する警告を形作っています。
著者:カピ七ラ、ディープ潮 TechFlow
3月31日、Google Quantum AIチームがホワイトペーパーを公開しました。タイトルは平凡ですが、内容は衝撃的です。
論文の中核となる結論:ビットコインおよびイーサリアムウォレットの楕円曲線暗号(ECC-256)を解読するのに必要な量子計算資源は、これまでの推計より約20倍少なくて済む。具体的には、1200個未満の論理量子ビットと9000万個のToffoliゲートがあれば、超伝導量子コンピュータ上で物理量子ビット50万個未満を用いて解読でき、所要時間はわずか数分です。
同じ日、カリフォルニア工科大学と量子ハードウェアのスタートアップOratomicが別の論文を発表し、結論はさらに強気でした。中性原子アーキテクチャを採用する量子コンピュータなら、最低でも約10,000個の物理量子ビットで攻撃を開始でき、26,000個の量子ビットでECC-256を約10日以内に攻略できるとしています。
2本の論文が重ね合わさり、暗号業界史上、最も深刻な量子脅威に関する警告を形作っています。
「理論上の遠い脅威」から「計算できる日付のカウントダウン」へ
これら2本の論文が与える衝撃力を理解するには、タイムラインを見る必要があります。2012年、学界ではECC-256の解読には約10億個の物理量子ビットが必要だと推計していました。2023年、Daniel Litinskiの論文がこの数字を約900万個まで圧縮しました。Googleの新しい論文ではそれを50万個未満まで引き下げました。Oratomicはさらに一段階進め、10,000個まで圧縮しました。
20年間で、5つの桁が縮まった。
つまり、量子脅威の議論の枠組みが完全に変わってしまったということです。これまでの主流の語り口は「量子コンピュータが暗号を解読できるようになるまで、あと数十年」というものでした。ところが今は「ハードウェアの進展が非線形に加速しなければ、ウィンドウ期間はせいぜい5〜10年しかないかもしれない」というものになっています。Ethereum Foundationの研究員Justin Drake(彼はGoogle論文の共同著者でもあります)は、2032年までに量子コンピュータがsecp256k1のECDSA秘密鍵を解読できる確率は少なくとも10%になると見積もっています。
Google論文では、2種類の攻撃シナリオが説明されています。
1つ目は「即時攻撃」(on-spend attack)です。ビットコインのユーザーが取引を開始すると、公鍵が一時的にメモリプール内で露出します。十分に高速な量子コンピュータなら、約9分以内に公鍵から秘密鍵を逆算し、取引の確定前に競合取引を仕掛けて資金を奪うことができます。ビットコインの平均ブロック生成時間は約10分なので、論文はこの種の攻撃の成功確率を約41%と見積もっています。
暗号学の領域では、41%の解読確率は統計上の誤差ではなく、すでに破られた署名方式です。
2つ目は「静的攻撃」(at-rest attack)で、すでにブロックチェーン上に公開されている休眠ウォレットを対象にします。この種の攻撃には時間の制限がありません。量子コンピュータは自分のペースでゆっくり計算できます。論文は、約690万枚のBTC(総供給量の3分の1)がこのような露出状態にあり、その内訳には、サトシの時代の初期コイン由来の約170万枚と、アドレス再利用によって公鍵が露出した多くの資金が含まれると推定しています。
現在の価格なら、この690万枚のBTCの価値は4500億米ドルを超えます。
Taproot:プライバシーを強化するはずが、攻撃面を拡大
論文で意外な発見だったのは、ビットコインの2021年のTaprootアップグレードが、量子安全性の観点で新たな脆弱性を生み出したことです。Taprootは取引効率とプライバシーの向上を目的とし、Schnorr署名方式を採用しています。しかしSchnorr署名の特性として、公鍵はデフォルトでブロックチェーン上に公開されます。これにより、旧来のアドレス形式(P2PKH)にあった「先にハッシュしてから公開する」という保護層が取り除かれました。
言い換えると、Taprootは従来の安全性では改善でしたが、量子安全性の観点では扉を開けてしまったのです。これにより、量子による攻撃を受けやすいビットコインのプールは、初期コインや再利用アドレスに限定されず、Taprootを使うすべてのウォレットにまで広がりました。
イーサリアム:問題はさらに大きいが、準備はもっと早く
ビットコインが「ウォレット単位」のリスクに直面しているのに対し、イーサリアムの問題は「インフラ単位」です。
Google論文は、イーサリアムが量子攻撃にさらされることが5つの層で起こり得ると指摘しています。個人ウォレット、スマートコントラクト管理鍵、PoSステーキングの検証、Layer 2ネットワーク、そしてデータ可用性サンプリングの仕組みです。論文は、イーサリアムの上位1000位までのウォレットが保有するのは約2050万枚のETHであり、9分ごとに1つの鍵を解読する量子コンピュータなら、9日以内にそれらすべてを空にできると見積もっています。現在のETH価格に基づけば、これらの資産価値は約415億米ドルです。
より深い問題は、システミック・リスクです。イーサリアム上の約2000億米ドルのステーブルコインおよびトークン化資産は、管理者鍵の署名に依存しており、また約3700万枚のステークETHは同じく攻撃されやすいデジタル署名によって認証されています。もし大規模なステーキングプールが破られれば、攻撃者は合意メカニズム自体に干渉できる可能性さえあります。
ただし、イーサリアムには構造的な優位性もあります。ブロック生成時間はわずか12秒で、大半の取引は1分以内に確定し、さらに大量にプライベートなメモリプールが使われています。これにより、イーサリアムでの「即時攻撃」の実現可能性は、ビットコインよりはるかに低くなります。
良いニュースは、イーサリアムコミュニティの対応がより積極的だということです。
Ethereum Foundationは先週、pq.ethereum.orgを立ち上げたばかりで、8年間のポスト量子研究成果を集約し、10以上のクライアントチームが毎週開発・テストネットを推進しています。Vitalik Buterinも以前、量子耐性のロードマップを公表していました。これに比べ、ビットコインコミュニティのガバナンス文化はより保守的です。BIP-360提案(量子耐性ウォレット形式の導入)は2月にBIPリポジトリへ統合されているものの、それは1種類の公鍵露出問題しか解決しません。完全な暗号学的移行には、さらに大規模なプロトコル変更が必要です。
コミュニティの反応:恐慌、理性、そして「これは我々だけの問題ではない」
暗号業界の反応は、予想どおりいくつかの陣営に分裂しました。
恐慌派はProject ElevenのCEO Alex Prudenが代表です。「この論文は、暗号業界が量子脅威を無視するために使ってきたあらゆる論点を、直接反論している」と述べています。DragonflyのパートナーHaseeb Qureshiは、X上でさらに踏み込んで「ポスト量子はもう演習ではない」と書きました。
理性的・楽観派はCZを代表に挙げることができます。彼は、暗号資産は量子耐性アルゴリズムへアップグレードすればよく、「恐慌になる必要はない」と考えています。この主張は技術的には正しいものの、重要な問題を見落としています。非中央集権型のブロックチェーンは、銀行や軍事ネットワークのようにソフトウェア更新を強制的に押し付けられないのです。ビットコインのインフラ移行期間は、ユーザーウォレットから取引所が対応し新しいアドレス形式へ移るまで、5〜10年かかる可能性があります。たとえ関係者が今日すでに合意していたとしてもです。
「何でも解読できる」派は、量子計算がブロックチェーンだけを脅かすのではないと指摘しています。世界の銀行システム、SWIFT送金、証券取引所、軍の通信、HTTPSのWebサイトもすべて、同様の暗号体系に依存しています。Google論文はこれに前向きに応答しています。中央集権システムはユーザーへ更新をプッシュできるが、非中央集権型ブロックチェーンはできない。これが根本的な違いです。
いちばん冷たいユーモアはマスクから:「少なくとも、もしウォレットのパスワードを忘れても、未来では取り戻せる。」
利益相反と理性的な割引
2本の論文はいずれも「純粋な学術」ではありません。
Caltech/Oratomicの論文の9人の著者は全員Oratomicの株主で、そのうち6人は同社の従業員です。この論文は、科学的成果であると同時に、中性原子ハードウェアのロードマップに関する同社の商業的な宣伝でもあります。Googleの論文も完全に中立とは言えません。Googleは、自社システムをポスト量子暗号へ移行する社内締切日を2029年に設定しており、論文の結論はこの商業的な意思決定と強く整合しています。さらにGoogleは安全上の理由から、実際の量子回路設計を公開せず、ゼロ知識証明を通じて米国政府に結果の妥当性を検証させたのです。
利益相反は割り引いて見る必要があるかもしれないが、トレンドそのものを割り引く必要はありません。「量子脅威は誇張されている」と誰かが言うたびに、次の論文では必要な量子ビット数をさらに1桁分切り詰めるのです。
「Q-Day」までどれくらい遠い?
現時点で最も先進的な量子コンピュータは、約6000個の量子ビットを持ち、かつコヒーレンス時間は約13秒にすぎません。6000個の量子ビットから、Google論文が要求する50万個(またはOratomicが主張する10,000個)へは、その間に巨大なエンジニアリングのギャップがまだあります。
しかし暗号投資家McKennaのたとえのほうが、覚えておく価値があるかもしれません。「Q-DayをY2Kのように想像していい。ただし今回は本物だ。」
StarkWareの共同創設者Eli Ben-Sassonは、ビットコインコミュニティに対してBIP-360の推進を加速するよう呼びかけています。Google自身も、Coinbase、スタンフォードのブロックチェーン研究所、そしてEthereum Foundationと協力して、責任ある移行を進めていると述べています。
論点はもはや「量子計算で暗号が解読できるのか」ではなく、「暗号業界が、ハードが追いつく前に移行を完了できるのか」になっています。Googleの2029年のタイムテーブルに加え、Oratomicの論文における量子ビット需要の急激な圧縮が示すことで、業界の猶予期間は、誰の予想よりも短いものになります。
サトシが眠らせた110万枚のBTCは、自分で量子安全なアドレスへ移行できません。もし量子コンピュータが先に到達してしまえば、価値700億米ドルを超えるこの数字の遺産は、史上最大の「デジタル座礁資産の引き揚げ」目標になるでしょう。Google論文は、このために「デジタル救出権」(digital salvage)の法的枠組みを例示として導入し、各国政府は移行できない休眠資産を扱うために立法が必要になる可能性があることを示唆しています。
これは、ビットコインのホワイトペーパーでは予見されていなかった問題です。数学的な財産防護の障壁そのものが破られた場合、「Code is Law」は成立し続けられるのでしょうか?