BIP-360 解説:ビットコインが量子耐性へと初めて踏み出すが、なぜこれは「第一歩」にすぎないのか?
TechFlow厳選深潮セレクト
BIP-360 解説:ビットコインが量子耐性へと初めて踏み出すが、なぜこれは「第一歩」にすぎないのか?
本稿では、BIP-360がビットコインの量子耐性戦略をいかに再構築するかについて説明し、その改良点を分析するとともに、なぜそれが完全なポスト量子セキュリティを実現していないのかについて考察します。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Cointelegraph
翻訳:AididiaoJP、Foresight News
要点のまとめ
- BIP-360は、抗量子性をビットコインの開発ロードマップに正式に組み込む初めての取り組みであり、急激な暗号体系の変革ではなく、慎重かつ漸進的な技術進化を示すものである。
- 量子リスクは主に既に公開された公開鍵を脅かすものであり、ビットコインが採用するSHA-256ハッシュアルゴリズムには直接的な脅威ではない。したがって、公開鍵の露出を最小限に抑えることが、開発者が最も重視するセキュリティ課題となっている。
- BIP-360は「ペイメント・トゥ・メルクル・ルート(P2MR)」スクリプトを導入し、Taprootアップグレードにおける鍵パスによる使用オプションを削除することで、すべてのUTXOの使用をスクリプトパス経由に強制し、楕円曲線公開鍵の露出リスクを最大限に低減する。
- P2MRは、スマートコントラクトの柔軟性を維持しつつ、Tapscriptメルクルツリーを通じてマルチシグ、タイムロック、複雑なカストディ構造などの機能を引き続きサポートする。
ビットコインの設計思想は、厳しい経済的・政治的・技術的課題に対しても耐性を持つよう構築されている。2026年3月10日現在、その開発者チームは新たな技術的脅威——すなわち量子計算——への対応に着手している。
最近公開されたビットコイン改善提案第360号(BIP-360)は、抗量子性をビットコインの長期技術ロードマップに正式に位置づける初めての試みである。一部のメディア報道ではこれを大きな変革と描写しているが、実際にはより慎重かつ段階的なアプローチである。
本稿では、BIP-360がいかにしてP2MRスクリプトの導入およびTaprootの鍵パス使用機能の削除を通じて、ビットコインの量子リスク・エクスポージャーを低減するのかを詳細に検討する。また、この提案がもたらす改良点、トレードオフ、およびなぜ現時点ではビットコインを完全なポスト量子セキュア状態には至らないのかについても明らかにする。
量子計算がビットコインに与える脅威の根源
ビットコインのセキュリティは、楕円曲線デジタル署名アルゴリズム(ECDSA)およびTaprootアップグレードで導入されたSchnorr署名といった暗号学的基盤に支えられている。従来型コンピュータでは、公開鍵から秘密鍵を実用的な時間内に逆算することは不可能である。しかし、十分な能力を持つ量子コンピュータがショアのアルゴリズムを実行できれば、楕円曲線離散対数問題を解読可能となり、結果として秘密鍵の安全性が脅かされる可能性がある。
重要な違いは以下の通りである:
- 量子攻撃は主に公開鍵暗号方式を標的にし、ハッシュ関数には影響を与えない。ビットコインが採用するSHA-256アルゴリズムは、量子計算に対して比較的堅牢である。グローバーのアルゴリズムは指数的加速ではなく、二次的加速しか提供できないためである。
- 真のリスクは、公開鍵がブロックチェーン上で公開される瞬間にある。
このため、コミュニティでは一般に、公開鍵の露出を最も重大な量子リスクの原因と見なしている。
2026年のビットコインにおける潜在的な脆弱性
ビットコインネットワーク上の各種アドレスタイプは、将来の量子脅威に対する脆弱性の程度が異なる。
- 再利用されたアドレス:資金が当該アドレスから支出されると、その公開鍵がチェーン上に公開される。今後、暗号関連量子コンピュータ(CRQC)が実現すれば、この公開鍵は攻撃対象となる。
- 旧式のペイメント・トゥ・パブリック・キー(P2PK)出力:初期のビットコイン取引では、取引出力に直接公開鍵が記載されていた。
- Taprootの鍵パスによる使用:Taprootアップグレード(2021年)では、シンプルな鍵パス(支出時に調整済み公開鍵を公開)とスクリプトパス(メルクル証明により特定のスクリプトを公開)という二つの支出パスが提供された。このうち、鍵パスは理論上、量子攻撃に対する最も主要な弱点である。
BIP-360はまさにこの鍵パスによる公開鍵露出の問題を直接的に解決するために設計されたものである。
BIP-360の核心的内容:P2MRの導入
BIP-360は、「ペイメント・トゥ・メルクル・ルート(P2MR)」と呼ばれる新しい出力タイプを追加する提案である。このタイプはTaprootの構造を踏襲するが、鍵パスによる使用オプションを完全に削除するという決定的な変更が加えられている。
Taprootが内部公開鍵をコミットするのとは異なり、P2MRはスクリプトツリーのメルクルルートのみをコミットする。P2MR出力の使用手順は以下の通りである:
スクリプトツリー内の1つのリーフスクリプトを明らかにする。
そのリーフスクリプトがコミットされたメルクルルートに属することを証明するメルクル証明を提供する。
この一連のプロセスにおいて、公開鍵に基づく支出パスは一切存在しない。
鍵パスによる使用を削除することによる直接的な効果は以下の通りである:
- 署名検証の際に直接公開鍵を暴露することを回避する。
- すべての支出パスが、量子耐性の高いハッシュベースのコミットメントに依拠するようになる。
- チェーン上に長期的に存在する楕円曲線公開鍵の数が大幅に減少する。
- 楕円曲線仮定に依存する手法と比べ、ハッシュベースの手法は量子攻撃に対する耐性が顕著に高く、これにより潜在的な攻撃面が大きく縮小される。
BIP-360が維持する機能
よくある誤解として、鍵パスによる使用を放棄すると、ビットコインのスマートコントラクトやスクリプト機能が劣化するというものがある。実際には、P2MRは以下のような機能を完全にサポートする。
- マルチシグ設定
- タイムロック
- 条件付き支払い
- 資産相続スキーム
- 高度なカストディ取扱い
BIP-360はこれらの機能をすべてTapscriptメルクルツリーによって実現する。この方式は、完全なスクリプト機能を維持しつつ、利便性が高い一方で潜在的なリスクを伴う直接署名パスを廃止したものである。
補足知識:中本聡氏は、初期のフォーラムでの議論において量子計算について簡潔に言及し、それが現実となった場合、ビットコインはより強固な署名方式へと移行できると述べている。これは、将来的なアップグレードに柔軟性を確保することが、ビットコインの初期設計思想の一部であったことを示唆している。
BIP-360の実践的影響
BIP-360は一見単なる技術的改善に見えるが、その影響はウォレット、取引所、カストディサービスなど広範なレイヤーに及ぶ。この提案が採択されれば、新たなビットコイン出力の作成・使用・保管方法が段階的に再構築され、特に長期的な抗量子性を重視するユーザーにとって深い影響を及ぼすだろう。
- ウォレット対応:ウォレットアプリケーションは、ユーザーが新規送金を受け取る際や長期保有資産を格納する際に利用可能な「量子強化」オプションとして、P2MRアドレス(おそらく「bc1z」で始まる)を提供する可能性がある。
- トランザクション手数料:スクリプトパスを使用すると、証拠データが増加するため、P2MRトランザクションはTaprootの鍵パス使用と比べて若干大きくなり、結果としてトランザクション手数料がわずかに増加する可能性がある。これは、セキュリティとトランザクションのコンパクト性との間で行われるトレードオフを反映している。
- エコシステム連携:P2MRの全面展開には、ウォレット、取引所、カストディ機関、ハードウェアウォレットなど各関係者の対応が必要である。関連する計画および調整作業は数年前から開始される必要がある。
補足知識:各国政府はすでに「収集してから解読する(harvest now, decrypt later)」リスクに注目しており、大量の暗号化データを現在収集・保存しておき、将来の量子コンピュータ実現後に解読しようとする戦略が進行中である。この戦略は、ビットコインにおいて既に公開された公開鍵に対する懸念と全く同様の根拠に基づいている。
BIP-360の明確な限界
BIP-360はビットコインの将来の量子脅威に対する防御力を高めるものの、それは暗号体系全体を再構築するようなものではない。その限界を理解することもまた極めて重要である。
- 既存資産は自動的にアップグレードされない:ユーザーが資金をP2MR出力へ積極的に移転するまで、すべての古い未使用トランザクション出力(UTXO)は依然として脆弱なままである。したがって、移行プロセスは完全にユーザー個人の行動に依存する。
- 新型ポスト量子署名を導入しない:BIP-360は、DilithiumやML-DSAなどの格子ベース署名方式、あるいはSPHINCS+などのハッシュベース署名方式を、既存のECDSAまたはSchnorr署名の代わりに採用していない。これは単にTaprootの鍵パスによる公開鍵露出モードを削除したものにすぎない。基礎層で完全にポスト量子署名へ移行するには、はるかに大規模なプロトコル変更が必要となる。
- 絶対的な量子免疫を提供しない:たとえ将来、実用可能なCRQCが突然登場したとしても、その衝撃への対応にはマイナー、ノード、取引所、カストディ機関間の大規模かつ高強度の協調が不可欠である。長期間未使用の「休眠コイン」は、複雑なガバナンス課題を引き起こし、ネットワークに多大な負荷をかける可能性がある。
開発者が先を見据えた戦略を講じる動機
量子計算の技術的発展の道筋には不確実性が満ちている。一部の見解では、実用化にはまだ数十年を要すると予測されている一方で、他方ではIBMが2020年代末に向けたフォールトトレラント量子コンピュータの開発目標、グーグルの量子チップに関する進展、マイクロソフトのトポロジカル量子計算に関する研究、米国政府が掲げる2030~2035年の暗号システム移行期限などから、関連技術の進展が加速していることが示唆されている。
重要なインフラの移行には長い準備期間が必要である。ビットコインの開発者たちは、BIP設計、ソフトウェア実装、インフラストラクチャの適合、ユーザー採用に至るまで、あらゆる段階において体系的な計画を立てることが不可欠であると強調している。量子脅威が迫ってから対応を始めれば、時間的余裕がなくなり、受動的かつ不利な立場に陥ってしまう恐れがある。
コミュニティ内で広範な合意が得られた場合、BIP-360は段階的なソフトフォーク方式で推進される可能性がある:
- P2MRという新たな出力タイプの有効化。
- ウォレット、取引所、カストディ機関が徐々にその対応を拡大。
- ユーザーが数年にわたって資産を新アドレスへと段階的に移行。
このプロセスは、かつてのセグウィット(SegWit)およびTaprootアップグレードが経験した、「選択肢として提供される」段階から「広範に普及する」段階へと至った経路と類似している。
BIP-360を巡る広範な議論
BIP-360の実施の緊急性およびその潜在的コストについては、コミュニティ内で継続的な議論が行われている。中心的な論点は以下の通りである:
- 長期保有者にとって生じるわずかな手数料増加は、受け入れ可能なものか?
- 機関投資家が率先して資産を移行し、模範的な役割を果たすべきか?
- 決して動かされることのない「眠っている」ビットコインについては、どのように適切に対処すべきか?
- ウォレットアプリケーションは、ユーザーに対して「量子安全」という概念を、過剰なパニックを招かず、かつ有効な情報を提供できるよう、いかに正確に伝達すべきか?
こうした議論は現在も続いており、BIP-360の提案は関連テーマの深掘りを大きく促進したものの、すべての問いに答えを出したわけではない。
補足知識:量子コンピュータが現在の暗号を解読可能になるという理論的構想は、1994年に数学者ピーター・ショアがショアのアルゴリズムを提唱した時点で既に存在していた。これはビットコイン誕生よりもはるかに以前のことである。よって、ビットコインが将来の量子脅威に対して行う計画は、実に30年以上前に提唱された理論的突破への応答であると言える。
ユーザーが現在取るべき対応策
現時点では量子脅威は差し迫っておらず、ユーザーは過度に心配する必要はない。ただし、慎重な対策を講じることは有益である。
- アドレスの再利用を避ける原則を守る。
- 常に最新版のウォレットソフトウェアを利用する。
- ビットコインプロトコルのアップグレードに関する動向を注視する。
- ウォレットアプリケーションがいつP2MRアドレスタイプのサポートを開始するかを確認する。
- 大量のビットコインを保有するユーザーは、自身のリスク・エクスポージャーを静かに評価し、それに応じた代替計画(contingency plan)を検討することを勧める。
BIP-360:抗量子時代への第一歩
BIP-360は、ビットコインがプロトコルレベルで量子リスク・エクスポージャーを削減するという意味で、具体的な第一歩を踏み出したことを示すものである。これは新たな出力の作成方法を再定義し、公開鍵の偶発的漏洩を最小限に抑え、将来の長期的な移行計画の基盤を築くものである。
BIP-360は既存のビットコインを自動的にアップグレードせず、現在の署名方式を維持する。それは、真の抗量子セキュリティを実現するには、慎重かつ包括的な全エコシステム規模の協調作業が必要であるという事実を浮き彫りにするものである。これは、単一のBIP提案で一気に実現できるものではなく、長期にわたる工学的実践と段階的なコミュニティ採用に依拠するものである。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@Cointelegraph
