9分でウォレットを解読:Googleの量子コンピューティング論文が暗号業界に衝撃、ビットコインの「Y2Kモーメント」到来か?
TechFlow厳選深潮セレクト
9分でウォレットを解読:Googleの量子コンピューティング論文が暗号業界に衝撃、ビットコインの「Y2Kモーメント」到来か?
2編の論文が重ね合わさることで、暗号業界史上最も深刻な量子脅威警告が発せられました。
Web3業界の深掘り報道に専念し潮流を洞察著者:カピセブンラ、TechFlow
3月31日、Google Quantum AIチームは、表題は地味だが内容は衝撃的なホワイトペーパーを発表した。
論文の核心的結論は、ビットコインおよびイーサリアムのウォレットを保護する楕円曲線暗号(ECC-256)を解読するために必要な量子計算リソースが、従来の見積もりよりも約20倍も少なくて済むというものである。具体的には、超伝導量子コンピュータ上でこの攻撃を実行するには、論理量子ビット数が1200未満、トフォリゲート数が9000万個程度で十分であり、物理量子ビット数は50万個未満、所要時間はわずか数分で完了するという。
同日、カリフォルニア工科大学(Caltech)と量子ハードウェアスタートアップ企業Oratomicは、さらに踏み込んだ別の論文を発表した。それによると、中性原子アーキテクチャを採用した量子コンピュータでは、攻撃開始に必要な物理量子ビット数が約1万個にまで削減可能であり、2万6000個の量子ビットがあれば、ECC-256を約10日間で解読できるという。
この2つの論文が重なることで、暗号業界にとってこれまでで最も深刻な量子脅威の警告が発せられたことになる。
「理論上の遠い脅威」から「日付が割り出せるカウントダウン」へ
この2編の論文が与える衝撃を理解するには、以下のようなタイムラインを確認する必要がある。2012年、学界ではECC-256の解読に約10億個の物理量子ビットが必要と見積もられていた。2023年、ダニエル・リティンスキー(Daniel Litinski)氏の論文により、この数字は約900万個へと大幅に圧縮された。Googleの新論文ではさらに50万個未満へと引き下げられた。Oratomicの論文はさらに一歩進み、1万個へとまで削減している。
つまり、20年間にわたって5桁もの圧縮が達成されたのだ。
これは、量子脅威に関する議論の枠組みそのものが根本的に変化したことを意味する。「量子コンピュータが暗号を解読できるようになるのはまだ数十年先」という従来の主流的見解は、今や「ハードウェアの進展が非線形的に加速すれば、残された猶予期間は5~10年しかないかもしれない」という認識へと移行しつつある。イーサリアム財団(Ethereum Foundation)の研究員で、Google論文の共同著者でもあるジャスティン・ドレイク(Justin Drake)氏は、2032年までにsecp256k1 ECDSAの秘密鍵が量子コンピュータによって解読される確率が少なくとも10%に達すると推定している。
Googleの論文では、2種類の攻撃シナリオが提示されている。
第1のタイプは「即時攻撃」(on-spend attack)である。ビットコインユーザーが取引を送信すると、その公開鍵が一時的にメモリープールに露出する。十分に高速な量子コンピュータであれば、この公開鍵から約9分以内に秘密鍵を逆算し、取引が承認される前に競合取引を送信して資金を窃取することが可能となる。ビットコインの平均ブロック生成時間は約10分であることを考慮すると、論文ではこの攻撃の成功確率は約41%と推定している。
暗号学の世界において、41%という解読確率は単なる統計誤差ではなく、すでに破綻した署名スキームを示す明確な指標である。
第2のタイプは「静的攻撃」(at-rest attack)であり、既にブロックチェーン上に公開鍵が記録されてしまった「休眠状態」のウォレットを標的とする。この攻撃には時間的制約がなく、量子コンピュータは自らのペースでゆっくりと計算を進めることができる。論文によれば、現在、約690万BTC(総供給量の約3分の1)がこのような公開状態に置かれており、そのうち約170万BTCは中本聡時代の初期ビットコイン、また多数のアドレス再利用によって公開鍵が漏洩した資金が含まれている。
現行価格で換算すると、この690万BTCの価値は4500億ドルを超える。
Taproot:プライバシー向上を狙ったアップグレードが、かえって攻撃面を拡大
論文で意外な発見として挙げられているのは、ビットコインが2021年に実施したTaprootアップグレードが、量子セキュリティという観点で新たな脆弱性を生み出したという点である。Taprootは取引効率とプライバシー向上を目的としてSchnorr署名方式を採用したが、この方式の特性として、公開鍵がデフォルトでブロックチェーン上に直接公開されることになる。これにより、旧来のアドレス形式(P2PKH)が持っていた「ハッシュ化→その後公開」という保護層が失われたのである。
言い換えれば、Taprootは従来のセキュリティ水準を向上させた一方で、量子セキュリティという次元においては新たな扉を開けてしまった。結果として、量子攻撃に対して脆弱なビットコインの保有額は、初期ビットコインやアドレス再利用による漏洩に限らず、すべてのTaproot対応ウォレットへと拡大されたのである。
イーサリアム:問題はより深刻だが、備えはより早期
ビットコインが直面しているリスクが「ウォレットレベル」であるのに対し、イーサリアムの課題は「インフラストラクチャレベル」のものである。
Googleの論文では、イーサリアムが量子攻撃に対して5つの異なるレイヤーで曝露していることが指摘されている:個人ウォレット、スマートコントラクト管理鍵、PoSステーキング検証、レイヤー2ネットワーク、およびデータ可用性サンプリング機構である。論文では、イーサリアムの上位1000件のウォレットが約2050万ETHを保有しており、1件の鍵を9分で解読できる量子コンピュータであれば、これらをすべて9日以内に奪取できると推定している。現行のETH価格で換算すると、これらの資産は約415億ドルに相当する。
さらに深刻なのはシステムリスクである。イーサリアム上で流通する約2000億ドル相当のステーブルコインおよびトークン化資産は、管理者の秘密鍵による署名に依存しており、約3700万ETHのステーキングも、同様に攻撃にさらされやすいデジタル署名によって認証されている。もし大規模なステーキングプールが攻撃を受ければ、攻撃者はコンセンサスメカニズムそのものを攪乱することさえ可能となる。
ただし、イーサリアムには構造的な強みもある。ブロック生成時間はわずか12秒であり、大多数の取引は1分以内に確定する。また、多くのプライベートメモリープールが活用されているため、「即時攻撃」がイーサリアム上で成立する可能性は、ビットコインと比べてはるかに低い。
幸運なことに、イーサリアムコミュニティの対応はより積極的である。
イーサリアム財団は先週、pq.ethereum.orgというウェブサイトを立ち上げ、8年にわたる後量子暗号(Post-Quantum Cryptography:PQC)に関する研究成果を一元的にまとめた。また、10以上のクライアントチームが毎週テストネットの開発・試験を進めている。ヴィタリク・ブテリン(Vitalik Buterin)氏も以前から量子耐性ロードマップを公表している。これに対し、ビットコインコミュニティのガバナンス文化はより保守的であり、BIP-360(量子耐性ウォレットフォーマットの導入を提案)は2月にBIPリポジトリにマージされたものの、これは公開鍵漏洩の一種のみを解決するに過ぎず、完全な暗号体系の移行には、より大規模なプロトコル変更が必要となる。
コミュニティの反応:パニック、合理的楽観、そして「これは我々だけの問題ではない」
暗号業界の反応は、予想通りいくつかの派閥に分かれた。
パニック派の代表格はProject ElevenのCEOアレックス・プラウデン(Alex Pruden)氏で、「この論文は、暗号業界が量子脅威を無視するためにこれまで用いてきたあらゆる論拠を、直接的に否定している」と述べた。Dragonflyのパートナー、ハセーブ・クレシ(Haseeb Qureshi)氏はX(旧Twitter)上でさらに直接的に、「後量子暗号への移行はもはや演習ではない」と投稿した。
合理的楽観派の代表はCZ(チャンピン・チャオ)氏である。彼は、暗号通貨が単に量子耐性アルゴリズムへとアップグレードすればよいだけで、「パニックは不要だ」と主張した。この主張は技術的には正しくはあるが、重要な課題を見落としている:分散型ブロックチェーンは、銀行や軍事ネットワークのようにソフトウェア更新を強制的に押し付けることはできない。ビットコインのインフラストラクチャにおける移行サイクル——ユーザーのウォレットから取引所のサポート、新しいアドレスフォーマットの採用に至るまで——は、全関係者が今日すぐに合意したとしても、5~10年を要する可能性がある。
「何でも解読できる」派は、量子計算がブロックチェーンのみならず、グローバルな銀行システム、SWIFT送金、証券取引所、軍事通信、HTTPSウェブサイトなど、全世界で共通に使われている同じ暗号基盤を脅かすと指摘する。Googleの論文はこの点について明言しており、「中央集権的システムはユーザーに更新をプッシュできるが、分散型ブロックチェーンはそれができない。これが根本的な違いである」と述べている。
最も皮肉なコメントはマスク氏によるものだった。「少なくとも、ウォレットのパスワードを忘れても、将来は取り戻せるだろう。」
利益相反と客観性の割引
この2編の論文はいずれも「純粋な学術論文」ではない。
Caltech/Oratomicの論文の著者9名は全員Oratomic社の株主であり、そのうち6名は同社の従業員である。この論文は科学的成果であると同時に、同社の中性原子型ハードウェア路線を宣伝する商業的意図も含んでいる。Googleの論文もまた完全に中立とは言い難く、Google社は自社システムを後量子暗号へ移行させる内部期限を2029年と設定しており、論文の結論はこの商業的決定と極めて一致している。さらに、セキュリティ上の配慮から、Googleは実際の量子回路設計を公表せず、米国政府に対してゼロ知識証明を用いて結果の妥当性を検証したにとどまっている。
論文の利益相反は確かに評価時に割引をかけるべきだが、トレンドそのものは割引をかけるべきではない。誰かが「量子脅威は過大評価されている」と主張するたびに、次の論文が要求される量子ビット数をさらに1桁削減してくるのが現実である。
「Q-Day」まで、あとどれくらい?
現時点で最先端の量子コンピュータは、約6000個の量子ビットを搭載しており、コヒーレンス時間はわずか約13秒である。6000個の量子ビットから、Google論文が要求する50万個(あるいはOratomicが主張する1万個)へと到達するには、依然として巨大な工学的ギャップが横たわっている。
しかし、暗号投資家のマケンナ氏(McKenna)の比喩の方がより記憶に残るかもしれない。「Q-DayをY2Kに例えることはできますが、今回は本物です。」
StarkWareの共同創設者エリ・ベン=サッソン(Eli Ben-Sasson)氏は、ビットコインコミュニティに対しBIP-360の迅速な推進を呼びかけている。Google自身も、Coinbase、スタンフォード・ブロックチェーン研究所、およびイーサリアム財団と連携し、責任ある移行を進めていくと表明している。
もはや議論の焦点は、「量子コンピュータが暗号を解読できるかどうか」ではなく、「ハードウェアの進化が追いつく前に、暗号業界が移行を完了できるかどうか」へと移っている。Googleが掲げる2029年のタイムライン、およびOratomic論文における量子ビット要件の急激な圧縮を考えると、業界に残された猶予期間は、誰もが予想していたよりも短いものとなっている。
中本聡が眠らせる110万BTCは、自ら量子安全アドレスへと移行することはできない。もし量子コンピュータが先に実用化されれば、この700億ドルを超えるデジタル遺産は、人類史上最大の「デジタル沈没船の引き揚げ」の標的となるだろう。Googleの論文は、こうした移行不能な休眠資産を巡る法的対応の必要性を示唆し、各国政府が立法措置を講じる可能性を示すために、「デジタル救済権」(digital salvage)という法的枠組みの類似概念まで導入している。
これは、ビットコインのホワイトペーパーには一切予見されていなかった問題である:私的所有権を守る数学的障壁そのものが崩れ去ったとき、「Code is Law(コードこそが法)」という原則は、果たして成立し得るのか?
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
深潮TechFlow
