量子コンピューティングの見出しはますます、ビットコインが崩壊寸前にあることを示唆しており、将来のマシンならその暗号を数分で解読できる、あるいはネットワークを完全に圧倒してしまうといった主張が語られている。
しかし、学術研究はもっと限定的な見通しを描いている。広く引用される「ブレークスルー」の中には、現実の暗号を反映していない単純化された問題に依拠しているものがある。そしてビットコインへの量子攻撃? X上で、ビットコインのハードウェア起業家ロドルフォ・ノバックが共有した研究論文によれば、必要なエネルギーは小さな恒星に相当するという。
ビットコインのセキュリティは2種類の異なる数学に支えられており、量子コンピュータはそれぞれ別の仕方で脅威を与える。
1つはショアのアルゴリズムとして知られ、ウォレットの安全性を狙う。理論上、十分に強力な量子コンピュータなら公開鍵から秘密鍵を導き出せる。その場合、攻撃者は資金をそのまま支配でき、ビットコインの所有を支える土台となる保証が破られる。
もう1つはグローバーのアルゴリズムで、マイニングに適用される。マイナーが行う試行錯誤の探索を理論上で高速化できる可能性があるが、下に示す論文の1つが明らかにしている通り、その優位性はマシンを実際に作ろうとすると大部分が消えてしまう。
これら2つの脅威は、見出しの中でしばしば混同される。しかし現実の制約を踏まえると、両者はまったく異なる着地点に落ち着く。
Xのスレッドで取り上げられた2本の最近の論文――一方は冷静な工学的分析、もう一方はまるで間の抜けた風刺――は、その主張をまったく逆方向から示している。そして、逆張りの研究や見解をまとめたスレッドと合わせると、暗号資産(crypto)Twitterにおける現在のパニックは、芝居仕立てのニュースサイクルの中で真の長期的懸念とを取り違えているのだ、と示唆される。
最初の論文は、ピエール=ルック・ダレール=デメールとBTQ Technologiesチームによるもので、2026年3月に発表されている。グローバーのアルゴリズム――量子技術で、通常のどんなマシンよりもはるかに速く問題を「推測」して突破できる可能性がある――を使えば、量子コンピュータが実際にBTCを上回って採掘できるのか、つまりマイナーが有効なブロックを見つけるために行う試行錯誤の探索プロセスを加速できるのかを問うている。
賭け金は聞こえるよりも大きい。マイニングこそが、BTCを51%攻撃から守っている。51%攻撃とは、単一の主体が十分なハッシュパワーを支配して最近の取引履歴を書き換え、コインの二重支払いを行ったり、ネットワークを検閲したりできるというシナリオだ。もし量子マイナーがブロック生成を支配できるなら、問題になるのは個々のウォレットだけではなく、コンセンサスそのものが争点になる。
理論上、グローバーはその支配への道筋を与える。だが実際には、研究者らは、ハードウェアとそのエネルギー要件の値段をつけてみると答えは崩れ落ちる、と主張する。グローバーをSHA-256――ブロックチェーンに新しいブロックを追加して報酬を得るために、ビットコインのマイナーが競って解こうとしている数学の式――に対して実行することは、物理的に不可能だという。
ビットコインに対してアルゴリズムを実行するには、誰もがどうやって作るのか分からない規模の量子ハードウェアが必要になる。
探索の各ステップには数十万もの繊細な操作が含まれ、その1つ1つが、誤りを抑えるために必要な「専用の支援システム」を持つ何千ものキュービットに支えられている。そしてビットコインは10分ごとに新しいブロックを生成するため、攻撃者が仕事を完了できる時間は非常に限られ、膨大な数のこれらのマシンを並べて同時に動かすことを強いられる。
Bitcoinの2025年1月の難易度において、著者らは量子マイニングのフリート(群)が、およそ10²³キュービットと10²⁵ワットの電力を必要とすると見積もっている。恒星のエネルギー出力に近づく(参考までに、これは依然として地球の太陽の3%にすぎない)。それに対して、現在のBitcoinの全ブロックチェーンが消費する電力は約15ギガワットだ。
量子的な51%攻撃は、単に高価なだけではない。実在する現実の文明が動かし得るどんな規模でも、物理的に到達不可能だ。
2本目の論文は、スイスのオークランド大学ではなく(※出典はスイス側表記に従い)、オークランド大学のピーター・ガットマンと、スイスのチューリッヒ応用科学大学のステファン・ノイハウスによるもので、別の部分に狙いを定める。すなわち、「量子コンピュータがすでに暗号を破り始めている」と主張する、絶え間ない見出しの打ち鳴らしだ。
著者らは、この20年の間に起きた主要な量子因数分解の「ブレークスルー」をすべて再現しようとした。彼らは成功した――1981年のVIC-20の家庭用コンピュータ、そろばん、そして3回吠えるよう訓練された犬のScribbleを使った。
冗談が刺さるのは、根底にあるポイントが深刻だからだ。因数分解は、現代の暗号の多くの中心にある数学の問題である。つまり、非常に大きな数を取り、それを掛け合わせて作る2つの素数を見つけるのだ。
何百桁もの数なら、通常のコンピュータでは実質的に不可能だと考えられている。ビットコインのウォレット脅威の背後にある量子技術であるショアのアルゴリズムが、人々が「量子マシンならいつかそれができてしまうのでは」と心配する理由である。
だがガットマンとノイハウスによれば、これまでのほぼすべての実演は不正をしている。場合によっては、研究者が選んだ数の隠された素因数はわずか数桁しか離れておらず、基本的な電卓のテクニックで簡単に当てられるようになっていた。
別のケースでは、問題の難しい部分をまず通常のコンピュータで先に実行していた――この手順を前処理と呼ぶ――その後、削ぎ落とされた、些細で自明な(trivially easy)バージョンを量子マシンに渡して「解かせた」。量子コンピュータはブレークスルーの功績を与えられるが、実際の作業は別の場所で行われていた。
著者らは、1本の最近の論文に焦点を当てている。そこでは、中国のチームがD-Waveマシンを使って、RSA-2048の解読に向けた前進を果たしたと主張されていた。RSA-2048は、インターネットの大半の銀行業務、メール、eコマースの通信を守る暗号方式だ。
研究者らは証明として10個の例の数を公表していた。ガットマンとノイハウスはそれらの数をVIC-20のエミュレータで実行し、1つあたり約16秒で答えを復元した。素数は数桁しか離れていないように選ばれており、数学者ジョン・フォン・ノイマンが1945年にそろばんの手法から適応していたアルゴリズムで容易に見つけられるようになっていた。
なぜこんなことが繰り返されるのか? 著者らはシンプルな答えを示唆している。量子因数分解は注目度が高い分野で、実際の成果は限られているため、「見栄えのする」印象的に聞こえる何かを公表するインセンティブが強いのだ。
仕掛けられた数を選ぶ、あるいは大部分の作業を古典的に行うことで、研究者は基礎となる科学を実際には前進させることなく、新しい「記録」を達成したと主張できる。論文では、新しい評価基準を提案している。そこでは、無作為な数を使い、前処理なしで、因子を実験者から秘密にしておくことが求められる。これまでの日付時点でのどの実証も合格しない。
教訓は、量子コンピューティングが無害だということではない。現代の暗号を破る方向への本当の進展を表す「すべての“ブレークスルー”の見出し」が、本物だということでもない。次にそれがやって来たとき、トレーダーは懐疑的であるべきだ。
どちらの論文も、量子の脅威を完全に否定してはいない。
本当の弱点はマイニングではなく、ビットコインのウォレットだ。何百万ものビットコインが、より古い、あるいは再利用されたアドレスに保管されており、鍵に関する情報がすでにブロックチェーン上に露出している。したがって、量子マシンが改善した場合、最も可能性の高い長期的な標的になるのはそれらだ。
これらの論文が発表されてから変わったのは脅威ではなく、見積もりだ。最近の論文で、Googleの研究者らは、こうした攻撃に必要な計算能力が急激に下がり得ると示唆している。つまり、ビットコインのブロックチェーンを守る暗号が、数分で実行される攻撃によって脆弱になる可能性がある、ということだ。
しかし、それは攻撃がすぐ近いという意味ではない。著者らは論文で、そのようなマシンを作ることは現時点では物理的に不可能であり、まだ成し遂げられていない工学的進歩が必要だと明らかにしている。量子ビットを制御するレーザーから、それらを読み取れる速度、さらに数万の原子を失うことなく同時に稼働し続ける能力まで、すべてが必要だ。
また、人々の公的な見方が不完全である可能性を示す兆候もある。最近の研究の中には、重要な技術的詳細を伏せているものがあり、この分野での進歩が常にオープンに共有されるとは限らないと専門家が警告している。
それでも開発者たちはすでに対策に取り組んでいる。鍵情報(key exposure)を減らす方法や、量子攻撃に耐えるよう設計された新しいタイプの署名などだ。
市場は、この脅威がまだ教室の中の問題にとどまっているという見方を反映している。トレーダーは、ビットコインが2027年より前にマイニングのアルゴリズムを置き換える可能性は低いと見ているが、ウォレットのリスク低減を狙ったBIP-360のようなアップグレードについては、40%前後と、はるかに高い確率を見積もっている。
ビットコインに対する量子的な脅威は現実のものだが、ブロックチェーンを攻撃するために使われるマシンを作ることは、物理学の限界によって制約されるという点を忘れないことが重要だ。
