量子運算威脅爆発！Coinbase 研究主管：33% ビットコイン恐被破解

Coinbase グローバル投資リサーチ責任者 David Duong は、量子計算の進歩速度が予想を超えていると警告し、約3分の1のビットコインが公開鍵の露出により量子攻撃に脆弱であると指摘しています。ブラックロックは5月に量子計算をリスクとして挙げており、研究者たちは今後4〜5年以内に量子コンピュータがビットコインの暗号技術を解読する可能性があると予測しています。

量子計算が理論的脅威から構造的リスクへ

量子計算によるビットコインへの脅威はもはや遠いSFの話ではありません。Coinbase グローバル投資リサーチ責任者 David Duong はLinkedInで警告を発し、量子計算の進歩速度は、約3.3兆ドルの暗号通貨産業が反映している速度よりも速いと述べています。彼は、ビットコインへの直接攻撃はまだ差し迫っていないものの、量子の脅威は遠い理論的懸念から実際の構造的リスクへと進化していると指摘しています。

Duongは次のように書いています。「量子計算の進歩に伴い、ビットコインの長期的な安全性は新たな段階に入る可能性があります。投資家は、量子計算のリスクが以前考えられていたよりも早く現れることをますます懸念しています。」この懸念は根拠のないものではありません。量子コンピュータは新しいタイプのマシンであり、量子力学の法則を利用して、現代のコンピュータとは全く異なる方法で情報を処理します。現在は実験段階にありますが、十分な規模に達すれば、ビットコインの暗号技術を解読する可能性があります。

研究者 Pierre-Luc Dallaire-Demers は10月にメディアに対し、量子コンピュータが今後4〜5年以内にビットコインの暗号技術を解読すると予測しています。この時間枠は、多くの投資家の想像よりもずっと近いものです。ブラックロックは5月に提出した旗艦商品 iSharesビットコイン信託基金の修正目論見書で、量子計算をリスク要因として明記しており、機関投資家がこの脅威を真剣に受け止めていることを示しています。

なぜ約3分の1のビットコインが攻撃に脆弱なのか

約3分の1のビットコイン供給量を保持するウォレットの暗号出力は公開されており、これらはブルートフォース攻撃に非常に脆弱です。この重要な脆弱性は、ビットコインの初期の技術設計に由来します。ビットコインの発展初期には、多くの取引がP2PK（Pay-to-Public-Key）形式を使用し、公開鍵をブロックチェーン上に直接露出させていました。これらの古いアドレスは、公開鍵が露出すると、量子コンピュータがそこから秘密鍵を導き出すことが可能です。

現代のビットコインアドレス（例：P2PKHやSegWitアドレス）は、未使用時には公開鍵が隠されており、取引を行う際にのみ公開されます。しかし、一度これらのアドレスで少なくとも一度の取引が行われると、公開鍵は永久にブロックチェーンに記録されます。つまり、過去に取引を行いながらもビットコインを保持しているアドレスは、すべて量子攻撃のターゲットとなり得るのです。

オンチェーンのデータ分析によると、約370万枚のビットコイン（総供給量の約17.6%）がこれらの公開鍵が露出したアドレスに保管されています。さらに、初期のP2PKアドレスにあるビットコインも含めると、総計で約3分の1のビットコイン供給が潜在的なリスクにさらされていることになります。より憂慮すべきは、これらのアドレスの中には、初期のマイナーや長期保有者に属するものも多く、中にはSatoshi本人が掘り出したビットコインも含まれている可能性がある点です。

量子計算の二重脅威のルート

ビットコインのセキュリティは、二つの暗号化モジュールに依存しています。第一は楕円曲線デジタル署名アルゴリズム（ECDSA）で、これにより秘密鍵の所有者だけが取引を承認できます。第二はSHA-256で、これはプルーフ・オブ・ワークのマイニングの基盤となるハッシュ関数です。Duongは、量子コンピュータがビットコインに対して二つの全く異なるリスクをもたらすと指摘しています。

量子計算によるビットコインの二大攻撃ベクトル

経済的リスク（量子マイニング）：もし量子コンピュータの計算能力が十分に高まれば、従来のビットコインマイニングよりもはるかに効率的にブロックを採掘でき、ビットコインネットワークのインセンティブメカニズムを歪める可能性があります。

セキュリティリスク（秘密鍵の解読）：量子コンピュータは、露出した公開鍵から秘密鍵を導き出すことができ、攻撃者は脆弱なアドレスから資金を盗み出すことが可能です。

優先度の高い脅威レベル：Duongは、現状のスケーラビリティの制約を考慮すると、量子マイニングは比較的低優先度の問題であり、署名の安全性が本質的な問題だと述べています。

二つ目のリスクはより直接的かつ緊急です。量子ビット数（推定には数百万の論理量子ビットが必要）が十分に大きくなると、Shorのアルゴリズムを用いて合理的な時間内に公開鍵から秘密鍵を計算できるようになります。これにより、公開鍵が露出しているアドレスは数時間以内に解読され、資金が盗まれる可能性があります。

一方、量子マイニングの脅威は比較的小さいです。理論上、量子コンピュータはSHA-256のハッシュ計算を高速化できますが、Groverのアルゴリズムによる量子優位性は平方根のレベルにとどまり、ECDSAの指数的優位性には及びません。さらに、ビットコインの難易度調整メカニズムは、計算能力の突然の増加に対応できるため、量子マイニングがネットワークを即座に破壊することはありません。

防御策と時間との戦い

ビットコインコミュニティは、量子脅威に対して全く準備していないわけではありません。研究者たちは、「ハッシュベースの署名」などの量子耐性暗号方式の探索を進めており、これにより量子証明のアップグレードを目指しています。これらの新しい署名方式は、楕円曲線や素因数分解といった、量子攻撃に脆弱な数学的難題に依存せず、ハッシュ関数の単方向性に基づいています。たとえ量子コンピュータがあっても、これらの方式は効果的に解読できないとされています。

しかし、ビットコインのプロトコルを量子耐性暗号にアップグレードすることは容易ではありません。全ネットワークのコンセンサスアップグレード（ハードフォーク）が必要であり、すべてのノードやウォレットソフトウェアの更新が求められます。さらに、露出した公開鍵を持つ古いアドレスの扱いも複雑です。強制的な移行はユーザーの財産権を侵害する可能性があり、一方で移行しないとこれらの資金は永遠にリスクにさらされ続けることになります。

時間が最も重要な要素です。もし量子コンピュータがビットコインの量子耐性アップグレード前に解読能力を獲得すれば、壊滅的な結果をもたらす可能性があります。投資家や保有者は、量子計算の進展に注意を払い、公開鍵が露出していない新しいアドレスに資金を移すことを検討すべきです。長期保有者にとっては、定期的に最新のアドレス形式（例：Taproot）に更新し、アドレスの再利用を避けることが、量子リスクを低減する実践的な対策となります。