作者:カピ七拉、ディープ・チョウ TechFlow
3月31日、Google Quantum AIチームがホワイトペーパーを発表した。題名は平凡だが、中身は爆発的だ。
論文の中核となる結論:ビットコインおよびイーサリアムのウォレットを保護する楕円曲線暗号(ECC-256)を解読するために必要な量子計算資源は、先の推計より約20倍少ない。具体的には、1200個未満の論理量子ビットと9000万個のToffoliゲートがあれば、超伝導量子コンピュータ上で物理量子ビット50万個未満を用いて解読でき、所要時間はわずか数分で済む。
同日、カリフォルニア工科大学と量子ハードウェアのスタートアップOratomicが別の論文を発表し、結論はさらに強気だった。中性原子アーキテクチャを採用する量子計算機なら、最小で約10,000個の物理量子ビットで攻撃を開始でき、26,000個の量子ビットで約10日以内にECC-256を破れる。
2本の論文が重なり合い、暗号業界史上、最も深刻な量子脅威に関する警告を形作った。
「理論上の遠い脅威」から「日程計算できるカウントダウン」へ
この2本の論文が与える衝撃の大きさを理解するには、タイムラインを見る必要がある。2012年、学界はECC-256の解読に約10億個の物理量子ビットが必要だと見積もった。2023年、Daniel Litinskiの論文はこの数字を約900万に圧縮した。Googleの新しい論文はそれを50万以下まで引き下げた。Oratomicはさらに一歩進めて10,000まで圧縮した。
20年間で、5桁の圧縮。
これは、量子脅威の議論の枠組みが完全に変わったことを意味する。従来の主流の語りは「量子コンピュータが暗号を解読できるようになるにはあと数十年ある」だったが、今や「ハードウェアの進展が非線形に加速しなければ、猶予期間は5〜10年しかないかもしれない」となっている。Ethereum Foundationの研究員Justin Drake(彼はまたGoogle論文の共同著者でもある)は、2032年までに量子コンピュータがsecp256k1 ECDSAの秘密鍵を解読できる確率は少なくとも10%だと見積もっている。
Googleの論文は、2種類の攻撃シナリオを描写している。
1つ目は「即時攻撃」(on-spend attack)。ビットコインのユーザーが取引を開始すると、公鍵が一時的にメモリプールに露出する。十分に高速な量子コンピュータなら、約9分で公鍵から秘密鍵を逆算し、取引の確定前に競合取引を実行して資金を窃取できる。ビットコインの平均のブロック生成時間がおよそ10分であることを踏まえ、論文はこの種の攻撃の成功確率は約41%だと推定している。
暗号分野において、41%の解読確率は統計上の誤差ではなく、すでに破られてしまった署名方式の数字だ。
2つ目は「静的攻撃」(at-rest attack)。公鍵がすでにチェーン上に露出している休眠ウォレットを狙う。こうした攻撃には時間制限がないため、量子コンピュータは自分のペースでゆっくり計算できる。論文によれば、約690万枚のBTC(総供給量の3分の1)がこの露出状態にあり、その中には約170万枚の中本(サトシ)の時代の初期コインが含まれ、さらにアドレス再利用によって公鍵が露出した資金が大量にある。
現在の価格で、この690万枚のBTCの価値は4500億ドルを超える。
Taproot:プライバシーを強化したつもりが、逆に攻撃面を広げた
論文中の意外な発見は、ビットコインの2021年のTaprootアップグレードが、量子耐性の観点で新たな脆弱性を生み出したことだ。Taprootは取引効率とプライバシーの向上を目指し、Schnorr署名方式を採用している。しかしSchnorr署名の特性として、公鍵はデフォルトでチェーン上に露出し、旧来のアドレス形式(P2PKH)にあった「先にハッシュしてから露出する」保護レイヤーが取り除かれた。
言い換えれば、Taprootは従来のセキュリティの面で改善したが、量子セキュリティの観点では逆に扉を1枚開けてしまった。これにより、量子攻撃を受けやすいビットコインのプールは、初期コインや再利用アドレスから、Taprootを使うすべてのウォレットへと拡張された。
イーサリアム:問題はさらに大きいが、準備はより早い
もしビットコインが「ウォレット単位」のリスクに直面しているのだとしたら、イーサリアムの問題は「インフラ単位」のものだ。
Googleの論文は、イーサリアムが量子攻撃にさらされるのは5つの層だと指摘している。個人ウォレット、スマートコントラクト管理鍵、PoS(プルーフ・オブ・ステーク)のステーキング検証、Layer 2ネットワーク、そしてデータ可用性サンプリング機構。論文の推計によると、イーサリアムの上位1000ウォレットが保有するのは約2050万枚のETHで、1つの鍵を9分ごとに解読する量子コンピュータなら、9日未満でそれらをすべて空にできるという。現在のETH価格で計算すると、これらの資産価値は約415億ドルだ。
さらに深い問題は、システミック・リスク(体系的リスク)にある。イーサリアム上の約2000億ドルのステーブルコインおよびトークン化資産は管理者鍵による署名に依存しており、約3700万枚のステークETHは同様に攻撃されやすいデジタル署名で認証されている。もし大規模なステーキングプールが破られれば、攻撃者は合意(コンセンサス)機構そのものに干渉する可能性さえある。
とはいえイーサリアムには構造的な優位性がある。ブロック生成時間はわずか12秒で、多くの取引は1分以内に確定し、さらに大量にプライベート・メモリプールが使われている。そのため「即時攻撃」のイーサリアム上での実現可能性は、ビットコインより大幅に低い。
朗報は、イーサリアム・コミュニティの対応がより積極的だということだ。
Ethereum Foundationは先週、pq.ethereum.orgを立ち上げた。8年間のポスト量子研究成果を集約し、10以上のクライアントチームが毎週開発とテストネットの推進を行っている。Vitalik Buterinも以前、量子耐性のロードマップを発表していた。対照的に、ビットコイン・コミュニティのガバナンス文化はより保守的だ。BIP-360提案(量子耐性ウォレット形式の導入)は2月にBIPリポジトリへ統合されているが、これは公鍵露出の1種類の問題しか解決せず、完全な暗号学的な移行にはより大規模なプロトコル変更が必要になる。
コミュニティの反応:恐慌、理性、そして「これは我々だけの問題ではない」
暗号業界の反応は、予想どおりいくつかの派に分かれた。
恐慌派はProject ElevenのCEO Alex Prudenに代表される。「この論文は、暗号業界が量子脅威を無視するために使ってきたあらゆる論点を、直接否定している」。またDragonflyのパートナーであるHaseeb QureshiはX上でさらに率直にこう書いた。「ポスト量子はもはや演習ではない。」
理性的で楽観的な派はCZに代表される。彼は、暗号資産は量子耐性アルゴリズムへアップグレードするだけでよく、「恐慌する必要はない」と考えている。この主張は技術的には正しいが、重要な問題を無視している。分散型のブロックチェーンは、銀行や軍事ネットワークのようにソフトウェア更新を強制的にプッシュできない。ビットコイン・インフラの移行期間は、ユーザーのウォレットから取引所が対応し、新しいアドレス形式へ切り替えるまで、五〜十年かかる可能性がある。仮に当事者たちが今日合意できたとしてもだ。
「何でも解読できる」派は、量子計算はブロックチェーンだけを脅かすのではないと指摘する。世界の銀行システム、SWIFT送金、証券取引所、軍の通信、HTTPSのサイトはすべて、同じ暗号体系に依存している。Googleの論文はこれに肯定的に応えている。中央集権システムならユーザーへ更新をプッシュできるが、分散型ブロックチェーンはできない。ここが根本的な違いだ。
最も冷たいユーモアはマスクから来ている。「少なくとも、もしウォレットのパスワードを忘れても、将来取り戻せる。」
利益相反と理性的な割引
2本の論文はいずれも「純粋な学術」ではない。
Caltech/Oratomicの論文の9人の著者は全員Oratomicの株主で、そのうち6人は同社の社員だ。この論文は科学的成果であると同時に、中性原子ハードウェアのロードマップに関する同社の商業的な宣伝でもある。Googleの論文もまた完全に中立ではない。Googleは2029年を、自社のシステムをポスト量子暗号へ移行する社内の締切日として設定しており、論文の結論はこの商業的な意思決定と非常に整合している。さらにGoogleは安全上の理由から、実際の量子回路設計を公開せず、ゼロ知識証明によって米国政府に結果の有効性を検証させた。
論文の利益相反は割り引いて見る必要があるが、トレンドそのものを割り引く必要はない。「量子脅威は誇張されている」と誰かが主張するたびに、次の論文では必要な量子ビット数がさらに1桁分切り詰められる。
「Q-Day」まであとどれくらい?
現在最先端の量子コンピュータは、約6000量子ビットを持ち、かつコヒーレンス時間は約13秒しかない。6000量子ビットから、Googleの論文が要求する50万(またはOratomicが主張する10,000)へ到達するには、その間に巨大な工学的ギャップがまだある。
しかし暗号投資家McKennaの比喩のほうが、より記憶に残るだろう。「Q-DayをY2Kのように考えていい。ただし今回は本物だ。」
StarkWareの共同創業者Eli Ben-Sassonは、ビットコイン・コミュニティにBIP-360の推進を加速するよう呼びかけている。Google自身も、Coinbase、スタンフォード・ブロックチェーン研究所、そしてEthereum Foundationと協力し、責任ある移行を推進していると述べている。
論争はもう「量子計算が暗号を解読できるのかどうか」ではなく、「暗号業界がハードウェアに追いつかれる前に移行を完了できるのか」になっている。Googleの2029年のタイムテーブルに、Oratomicの論文における量子ビット需要の急激な圧縮が加わり、業界が持つ猶予期間は、誰の想像よりも短い。
中本(サトシ)が眠っている110万枚のBTCは、自力で量子安全なアドレスへ移行できない。もし量子コンピュータが先に到達すれば、価値700億ドルを超えるこのデジタル遺産は、史上最大級の「デジタル難破船救出」の目標になる。Googleの論文は、そのために「デジタルサルベージ権(digital salvage)」という法律上の枠組みを類比として導入し、各国政府が移行できない休眠資産を扱うために立法を必要とする可能性があることを示唆している。
これはビットコインのホワイトペーパーには予見されていなかった問題だ。私有財産を守るための数学的な防壁そのものが攻撃されてしまうなら、“Code is Law”はまだ成立するのだろうか?
302.83K 人気度
46.02K 人気度
19.55K 人気度
329.55K 人気度
801.99K 人気度
9分でウォレットを解読:Googleの量子論文が暗号界に炸裂し、ビットコインの「Y2K時刻」が到来?
作者:カピ七拉、ディープ・チョウ TechFlow
3月31日、Google Quantum AIチームがホワイトペーパーを発表した。題名は平凡だが、中身は爆発的だ。
論文の中核となる結論:ビットコインおよびイーサリアムのウォレットを保護する楕円曲線暗号(ECC-256)を解読するために必要な量子計算資源は、先の推計より約20倍少ない。具体的には、1200個未満の論理量子ビットと9000万個のToffoliゲートがあれば、超伝導量子コンピュータ上で物理量子ビット50万個未満を用いて解読でき、所要時間はわずか数分で済む。
同日、カリフォルニア工科大学と量子ハードウェアのスタートアップOratomicが別の論文を発表し、結論はさらに強気だった。中性原子アーキテクチャを採用する量子計算機なら、最小で約10,000個の物理量子ビットで攻撃を開始でき、26,000個の量子ビットで約10日以内にECC-256を破れる。
2本の論文が重なり合い、暗号業界史上、最も深刻な量子脅威に関する警告を形作った。
「理論上の遠い脅威」から「日程計算できるカウントダウン」へ
この2本の論文が与える衝撃の大きさを理解するには、タイムラインを見る必要がある。2012年、学界はECC-256の解読に約10億個の物理量子ビットが必要だと見積もった。2023年、Daniel Litinskiの論文はこの数字を約900万に圧縮した。Googleの新しい論文はそれを50万以下まで引き下げた。Oratomicはさらに一歩進めて10,000まで圧縮した。
20年間で、5桁の圧縮。
これは、量子脅威の議論の枠組みが完全に変わったことを意味する。従来の主流の語りは「量子コンピュータが暗号を解読できるようになるにはあと数十年ある」だったが、今や「ハードウェアの進展が非線形に加速しなければ、猶予期間は5〜10年しかないかもしれない」となっている。Ethereum Foundationの研究員Justin Drake(彼はまたGoogle論文の共同著者でもある)は、2032年までに量子コンピュータがsecp256k1 ECDSAの秘密鍵を解読できる確率は少なくとも10%だと見積もっている。
Googleの論文は、2種類の攻撃シナリオを描写している。
1つ目は「即時攻撃」(on-spend attack)。ビットコインのユーザーが取引を開始すると、公鍵が一時的にメモリプールに露出する。十分に高速な量子コンピュータなら、約9分で公鍵から秘密鍵を逆算し、取引の確定前に競合取引を実行して資金を窃取できる。ビットコインの平均のブロック生成時間がおよそ10分であることを踏まえ、論文はこの種の攻撃の成功確率は約41%だと推定している。
暗号分野において、41%の解読確率は統計上の誤差ではなく、すでに破られてしまった署名方式の数字だ。
2つ目は「静的攻撃」(at-rest attack)。公鍵がすでにチェーン上に露出している休眠ウォレットを狙う。こうした攻撃には時間制限がないため、量子コンピュータは自分のペースでゆっくり計算できる。論文によれば、約690万枚のBTC(総供給量の3分の1)がこの露出状態にあり、その中には約170万枚の中本(サトシ)の時代の初期コインが含まれ、さらにアドレス再利用によって公鍵が露出した資金が大量にある。
現在の価格で、この690万枚のBTCの価値は4500億ドルを超える。
Taproot:プライバシーを強化したつもりが、逆に攻撃面を広げた
論文中の意外な発見は、ビットコインの2021年のTaprootアップグレードが、量子耐性の観点で新たな脆弱性を生み出したことだ。Taprootは取引効率とプライバシーの向上を目指し、Schnorr署名方式を採用している。しかしSchnorr署名の特性として、公鍵はデフォルトでチェーン上に露出し、旧来のアドレス形式(P2PKH)にあった「先にハッシュしてから露出する」保護レイヤーが取り除かれた。
言い換えれば、Taprootは従来のセキュリティの面で改善したが、量子セキュリティの観点では逆に扉を1枚開けてしまった。これにより、量子攻撃を受けやすいビットコインのプールは、初期コインや再利用アドレスから、Taprootを使うすべてのウォレットへと拡張された。
イーサリアム:問題はさらに大きいが、準備はより早い
もしビットコインが「ウォレット単位」のリスクに直面しているのだとしたら、イーサリアムの問題は「インフラ単位」のものだ。
Googleの論文は、イーサリアムが量子攻撃にさらされるのは5つの層だと指摘している。個人ウォレット、スマートコントラクト管理鍵、PoS(プルーフ・オブ・ステーク)のステーキング検証、Layer 2ネットワーク、そしてデータ可用性サンプリング機構。論文の推計によると、イーサリアムの上位1000ウォレットが保有するのは約2050万枚のETHで、1つの鍵を9分ごとに解読する量子コンピュータなら、9日未満でそれらをすべて空にできるという。現在のETH価格で計算すると、これらの資産価値は約415億ドルだ。
さらに深い問題は、システミック・リスク(体系的リスク)にある。イーサリアム上の約2000億ドルのステーブルコインおよびトークン化資産は管理者鍵による署名に依存しており、約3700万枚のステークETHは同様に攻撃されやすいデジタル署名で認証されている。もし大規模なステーキングプールが破られれば、攻撃者は合意(コンセンサス)機構そのものに干渉する可能性さえある。
とはいえイーサリアムには構造的な優位性がある。ブロック生成時間はわずか12秒で、多くの取引は1分以内に確定し、さらに大量にプライベート・メモリプールが使われている。そのため「即時攻撃」のイーサリアム上での実現可能性は、ビットコインより大幅に低い。
朗報は、イーサリアム・コミュニティの対応がより積極的だということだ。
Ethereum Foundationは先週、pq.ethereum.orgを立ち上げた。8年間のポスト量子研究成果を集約し、10以上のクライアントチームが毎週開発とテストネットの推進を行っている。Vitalik Buterinも以前、量子耐性のロードマップを発表していた。対照的に、ビットコイン・コミュニティのガバナンス文化はより保守的だ。BIP-360提案(量子耐性ウォレット形式の導入)は2月にBIPリポジトリへ統合されているが、これは公鍵露出の1種類の問題しか解決せず、完全な暗号学的な移行にはより大規模なプロトコル変更が必要になる。
コミュニティの反応:恐慌、理性、そして「これは我々だけの問題ではない」
暗号業界の反応は、予想どおりいくつかの派に分かれた。
恐慌派はProject ElevenのCEO Alex Prudenに代表される。「この論文は、暗号業界が量子脅威を無視するために使ってきたあらゆる論点を、直接否定している」。またDragonflyのパートナーであるHaseeb QureshiはX上でさらに率直にこう書いた。「ポスト量子はもはや演習ではない。」
理性的で楽観的な派はCZに代表される。彼は、暗号資産は量子耐性アルゴリズムへアップグレードするだけでよく、「恐慌する必要はない」と考えている。この主張は技術的には正しいが、重要な問題を無視している。分散型のブロックチェーンは、銀行や軍事ネットワークのようにソフトウェア更新を強制的にプッシュできない。ビットコイン・インフラの移行期間は、ユーザーのウォレットから取引所が対応し、新しいアドレス形式へ切り替えるまで、五〜十年かかる可能性がある。仮に当事者たちが今日合意できたとしてもだ。
「何でも解読できる」派は、量子計算はブロックチェーンだけを脅かすのではないと指摘する。世界の銀行システム、SWIFT送金、証券取引所、軍の通信、HTTPSのサイトはすべて、同じ暗号体系に依存している。Googleの論文はこれに肯定的に応えている。中央集権システムならユーザーへ更新をプッシュできるが、分散型ブロックチェーンはできない。ここが根本的な違いだ。
最も冷たいユーモアはマスクから来ている。「少なくとも、もしウォレットのパスワードを忘れても、将来取り戻せる。」
利益相反と理性的な割引
2本の論文はいずれも「純粋な学術」ではない。
Caltech/Oratomicの論文の9人の著者は全員Oratomicの株主で、そのうち6人は同社の社員だ。この論文は科学的成果であると同時に、中性原子ハードウェアのロードマップに関する同社の商業的な宣伝でもある。Googleの論文もまた完全に中立ではない。Googleは2029年を、自社のシステムをポスト量子暗号へ移行する社内の締切日として設定しており、論文の結論はこの商業的な意思決定と非常に整合している。さらにGoogleは安全上の理由から、実際の量子回路設計を公開せず、ゼロ知識証明によって米国政府に結果の有効性を検証させた。
論文の利益相反は割り引いて見る必要があるが、トレンドそのものを割り引く必要はない。「量子脅威は誇張されている」と誰かが主張するたびに、次の論文では必要な量子ビット数がさらに1桁分切り詰められる。
「Q-Day」まであとどれくらい?
現在最先端の量子コンピュータは、約6000量子ビットを持ち、かつコヒーレンス時間は約13秒しかない。6000量子ビットから、Googleの論文が要求する50万(またはOratomicが主張する10,000)へ到達するには、その間に巨大な工学的ギャップがまだある。
しかし暗号投資家McKennaの比喩のほうが、より記憶に残るだろう。「Q-DayをY2Kのように考えていい。ただし今回は本物だ。」
StarkWareの共同創業者Eli Ben-Sassonは、ビットコイン・コミュニティにBIP-360の推進を加速するよう呼びかけている。Google自身も、Coinbase、スタンフォード・ブロックチェーン研究所、そしてEthereum Foundationと協力し、責任ある移行を推進していると述べている。
論争はもう「量子計算が暗号を解読できるのかどうか」ではなく、「暗号業界がハードウェアに追いつかれる前に移行を完了できるのか」になっている。Googleの2029年のタイムテーブルに、Oratomicの論文における量子ビット需要の急激な圧縮が加わり、業界が持つ猶予期間は、誰の想像よりも短い。
中本(サトシ)が眠っている110万枚のBTCは、自力で量子安全なアドレスへ移行できない。もし量子コンピュータが先に到達すれば、価値700億ドルを超えるこのデジタル遺産は、史上最大級の「デジタル難破船救出」の目標になる。Googleの論文は、そのために「デジタルサルベージ権(digital salvage)」という法律上の枠組みを類比として導入し、各国政府が移行できない休眠資産を扱うために立法を必要とする可能性があることを示唆している。
これはビットコインのホワイトペーパーには予見されていなかった問題だ。私有財産を守るための数学的な防壁そのものが攻撃されてしまうなら、“Code is Law”はまだ成立するのだろうか?