ビットコインは量子コンピュータで消滅するのか？「2029年デッドライン説」の正体とは？

　Googleの論文を機に「2029年がデッドライン」などの報道も過熱、量子コンピュータによるビットコインへの脅威が話題となっている。量子コンピュータの仕組み、BTCへの具体的なリスクを整理し、過度に恐れず冷静に向き合うための基礎知識を、楽天ウォレット・シニアアナリスト：松田康生、通称MATT（マット）が解説する。

量子コンピュータの脅威を過度に恐れず本当の脅威を読み解く

　4月に入ってから、暗号資産かいわいでは、量子コンピュータの脅威が一気に話題となっている。Googleが発表した論文を受けて、イーロン・マスク氏が「ウォレットのパスワードを忘れても将来アクセス可能になるよ」とジョークを返したところ、それが「BTCは2029年がデッドラインだ」などと大げさに報じられる事態に発展した。

　なぜこんな話が広がるのか。その理由は、量子コンピュータの脅威を「なんとなく知っているけれど、きちんと理解していない」人が多いからだ。人間は見えない脅威を過度に恐れる傾向がある。

　本稿では、読者が過度に悲観的にもならず、楽観視しすぎることもないよう、量子コンピュータとは何か、何が本当の脅威で、どんな対策があるのかを、現在の状況とともにできるだけやさしく解説していく。

「Googleのレポートが騒動の発端」を解説

　今回の騒動のきっかけはGoogleのレポートだ。ビットコインの基盤となっている暗号技術を解読するのに必要な量子回路が、1,200未満論理量子ビットと9,000万演算、または1,450未満論理量子ビットと7,000万演算でつくれると示した。そしてこの回路を実際の量子コンピュータで動かす場合、必要な物理的な量子ビットは50万未満で済むという内容となっている。

　従来の推定では、1,000万前後の物理量子ビットが必要で、実現まで10年以上かかると見られていたものが、約20分の1にまで少なくできた。これにより、解読にかかる時間も最短約9分～ビットコインの平均的なブロック生成時間（10分）以内に収まる可能性が出てきた。

　これを受けて「理論上、公開された鍵情報を持つ取引がブロックチェーンに確定する前に秘密の鍵を割り出し、ビットコインを盗む攻撃が成立するのではないか」と市場に強い衝撃を与えた。

　ただ、論文に2029年という記載があるわけではなく、同社が2021年ごろに掲げた「2029年までに100万物理量子ビット規模を目指す」という目標や同社内の対策期限が蒸し返されているかっこうだ。現在、実現しているのは100量子ビット程度で、2029年という期限が独り歩きしている印象で、これも量子脅威を漠然と捉えているために過度に悲観的になる典型例だろう。

　この辺りまでの話はニュースなどで見聞きした読者が多いと思うが、論理量子ビットとは何で、物理量子ビットとは何が異なり、またBTCの何が破られるのか、ここがはっきりしないことが、多くの人が過度に恐れたり、見ないふりをしたりすることにつながっていると考える。

量子コンピュータとは何か？

　まず「量子コンピュータは何か」から話そう。高校生のころに「電波は電子という物質であり波でもある」と習ったことを覚えているだろうか。量子力学ではこれを「物質と波の二面性」と呼ぶ。従来のコンピュータは電子の物質としての性質を利用しているのに対し、量子コンピュータは波としての性質を利用する。その結果、けた違いの処理能力を持つことになった。

　この先は、興味がない、またはすでに知っているという方は、読み飛ばして、次章「ビットコインの脅威とは？」に進んでもらって構わない。

　従来のコンピュータは、半導体に電気が流れているか流れていないかの2進法で計算する。一方、量子コンピュータでは特殊な回路を極低温まで冷やして、量子をほぼ動かなくして整列させた量子ビットをつくる。

　この量子ビットは、0か1かのどちらか一方ではなく、0と1を同時に持つことができる。これを「重ね合わせ」という。

　また、量子ビット同士を特定の方法で結びつけると、ある量子ビットが0か1に決まった瞬間、遠く離れた別の量子ビットの状態も即座に関連づけられる。これを「量子もつれ」と呼ぶ。

　これらの現象は、量子の物質としての性質ではなく、波としての性質によって起きる。スタジアムのウエーブを思い出してほしい。観客一人一人が量子ビットで、座る（0）か立つ（1）かの状態を取る。量子もつれが起きていると、一人が座ったり立ったりする動きが、他の人の状態にも連動して影響を与えるようなイメージだ。

　この結果、量子ビットがN個あるとき、可能な状態の組み合わせ2のN乗の情報を同時に処理することが可能となった。

　例えば10ビットの場合、従来のコンピュータでは処理能力は1ビットの10倍程度のイメージだ。しかし10量子ビットの場合、重ね合わせのおかげで約1,000通り（2の10乗）の状態を1回の計算で同時に持てる。つまり、1量子ビットに対して約1,000倍の処理能力を持つことになる。

　量子ビットを1個増やすごとに、指数関数的に処理能力が跳ね上がる。これが量子コンピュータの決定的な強みで、BTCの秘密鍵のような途方もない計算を、現実的な時間で可能にするかもしれない理由だ。

　ただ、こうした量子ビットをつくる過程は、ほとんどSFのような世界だ。

• 超伝導方式（Googleが主に使っているタイプ）では、機械全体を絶対零度に極めて近い温度（マイナス273℃に限りなく近い）まで冷やして動きをなくして、整列させ続ける必要がある。
• 中性原子方式（ルビジウムなどを使うタイプ）では、原子をレーザーで冷やしてほとんど動かなくし、光ピンセットで一つずつ精密に並べる必要がある。

　また、「量子ビットを0か1の状態にする」と簡単に言うが、実際には量子のエネルギー（振動）を微妙に変えてマイクロ波を当てて操作・計測する。この過程では誤差が非常に多く発生しやすい。そのため、理論上の一つの論理量子ビットを実現するには、実際の物理量子ビットが数百個必要になるケースが普通だ。

　つまり、Googleのレポートで出てきた「50万未満の物理量子ビット」という数字は、理論上・計算上の目安ではあるが、現実の機械としてつくるのはまだ相当ハードルが高い。要は、量子コンピュータはようやく理論から現実の世界に一歩踏み出したばかりだ。古典コンピュータで言えば、巨大な電子計算機が誕生した1950年代くらいのイメージだ。

　こうした壁を考えると、「すぐ実用化されてビットコインが危ない」という話には、まだ少し時間がかかりそうだというイメージを持っていただけただろうか？

ビットコインへの脅威とは？

秘密鍵が危ない

　管理者がいないBTCでは、秘密鍵を知っている人がそのコインの保有者と見なされる。だから、秘密鍵を解読されることと、ビットコインを盗まれることはほぼ同じ意味だ。

　BTCでは、その秘密鍵から公開鍵を作成、このワンセットで秘密鍵が正しいかを検証する。楕円（だえん）曲線暗号という暗号技術で、秘密鍵から公開鍵は分かるが、公開鍵から秘密鍵は分からないことから一方向関数とも呼ばれている。承認者はこの原理を利用して取引を「承認」しており、具体的には所有者が提示する秘密鍵から公開鍵が導き出せるかの計算を行っている。

　ところが、量子コンピュータにより、この一方向性が破られる可能性が出てきた訳だ。

　実はビットコインは定期的にアップデートを重ねてきたので、マイニングされた時期によって脆弱（ぜいじゃく）性の度合いが異なる。

サトシ時代（2009～2010年　256ビットの公開鍵）

　公開鍵をそのままアドレスに使っていたため、最も危険とされている。およそ170万BTCが存在するといわれ、そのうち約110万BTCはサトシ・ナカモトがマイニングしたものと推測されている。

　これらの公開鍵は、最初からブロックチェーン上に永久に公開済みなので、量子コンピュータができればいつでも秘密鍵を解読されるリスクがある。

ハッシュ化時代（2010～2017年　1ないし3から始まるアドレス）

　アドレスを公開鍵をハッシュ化（短く省略）したものに変えた。情報量が少ないのでアドレスから公開鍵は逆算できなくなり、普段は公開鍵が隠れているが、送金する瞬間に公開鍵をネットワークにさらす必要がある。

　その短い時間（ブロックが生成される約10分以内）に量子コンピュータが攻撃を仕掛け、秘密鍵を解読されるリスクがある。

2017年のSegWit以降（bc1qから始まるアドレス）

　SegWitで公開鍵を分離した結果、公開鍵を隠しておける期間がやや長くなった。しかし、送金時に公開鍵をさらす必要があるという本質は変わっていないので、ハッシュ化時代とリスクはほぼ同じ。

2021年のTaproot以降（bc1pから始まるアドレス）

　送金が完了するまで公開鍵をネットワークにさらさなくてよくなったため、送金中の10分以内に解読されるリスクは大幅に減った。ただし、アドレスを作成して資金を受け取った瞬間から公開鍵がブロックチェーン上に公開されてしまう。

　Googleの2026年論文では、これを「量子セキュリティの後退」と指摘している。すなわち以前はハッシュ化されていた公開鍵がブロックチェーン上に残ってしまっている。アドレスを頻繁に変えたり、量子耐性のあるアドレスに変えたりするなどの対策が必要だ。

量子対策、三つの方式

　このようにいずれも完全にリスクがなくなるということではなく、根本的には秘密鍵から公開鍵を導き出す「楕円曲線暗号」を変更する必要がある。実は、すでに量子コンピュータに破られない暗号技術は存在し、耐量子暗号（PQC）という言葉も存在する。

　それどころか米国国立標準技術研究所（NIST）が2016年から世界規模で選定を進め、2024年に三つの標準方式を正式決定している。要は解決策はあり、やるかやらないかだけの話なのだ。この点を認識しないと、過度に悲観的になりかねない。

【1】格子方式（ML-DSA方式）

　量子コンピュータが苦手とする、何次元にも拡張した数学的空間の中での短いベクトルを探すという格子問題を利用。「巡回セールスマン問題」といって量子に限らずコンピュータは、宅配便の効率的なルート探索が苦手といわれている。処理が速くてバランスが良く、BTCでは最も有力視されている。

【2】ハッシュ方式（SLH-DSA）

　何か加えてハッシュ化すると元へは戻れない原理を利用。数学的にシンプルで、量子コンピュータに対する安心感が高い。ただ、処理が重くなってしまう難点がある。

【3】改良格子方式（FN-DSA）

【1】を改良、さらに処理が速くなるとされているが、実装が複雑すぎるという指摘もある。

BTCの量子対策

　BTCの量子対策のポイントは主に以下の3点だ。

【1】サトシ時代のBTCをどうするか

　約170万BTCが公開鍵を永久にさらしたまま眠っている。量子対応アドレスに移動することが根本的な解決法だが、例えば行方が分からないサトシがマイニングしたとされる約110万BTCが移動する可能性は低いとみられている。

　いったん凍結するとか、強制移行といった案も出てはいるが、コミュニティーのコンセンサスが得にくいまま放置されている。市場では「すでに織り込まれた死に金」と見なされつつ、量子時代に大量移動が起これば混乱の種になる可能性がある。

【2】Taprootの問題（量子セキュリティの後退）

　Taproot（ビットコインのプライバシー、効率性、スマートコントラクト機能を向上させる2021年11月導入のプロトコルアップグレード）後のアドレスは、資金を受け取った瞬間から公開鍵が公開されてしまう弱点がGoogleの論文で指摘された。

　この点についてはBIP360（Bitcoin Improvement Proposal：ビットコインの量子耐性を強化するための提案）で公開鍵を一切出さない新アドレス形式が提案されており、議論は進み始めた。

　しかし、移行に5～7年程度要すると見積もられており、スピードアップが必要な状況だ。Coinbaseなどは社内に対策部門を立ち上げ、インフラ整備を進め始める一方で、開発者側はまだ慎重な姿勢を崩していない。

【3】PQCの実装

　根本解決であるML-DSAなどへの置き換えは、まだ本格的に動き出していない。早く動き始める必要がある。

コミュニティーの議論

　イーロン・マスク氏が「2029年までに解決せよ」と警鐘を鳴らし、Coinbaseのブライアン・アームストロングCEOが「個人的に取り組む」「業界で連携を」と動き出したのに対し、アダム・バック氏をはじめとするBTC開発者・コア勢は「脅威はまだ数十年先」「急ぐと新しい脆弱性が生まれるリスクの方が大きい」と渋っている。

　要するに、イーサリアム（ETH）はヴィタリック・ブテリン氏の強いリーダーシップの下、今年2月にロードマップを発表し対策が走り出したのに対し、BTCは分散性が強すぎて合意形成が遅いのが最大の課題だ。

　市場では「外部勢が推しているのに開発者側が慎重すぎる」というギャップが目立ち、不安材料として価格に影響する可能性もある。暗号資産ファンド大手のグレイスケールはBTCの量子対応は技術の問題ではなく、合意形成の問題だと指摘している。

市場への影響

　量子脅威がBTC相場の重しになっているという指摘がある。

　しかしこの問題は以前から存在しており、相場が下がると突然材料視され、上がると忘れられる――という、やや都合の良い説明に使われがちだ。

　Googleの論文発表をきっかけに、再び材料視されるようになったとの見方もある。BTC単独のチャートではイラン問題などのノイズが入りやすいため、量子対応で先行しているETHとの比較に注目すると、ETH/BTCはロードマップ発表やGoogle論文を機に反発したものの、材料視されるほど目立った動きにはなっていない。

出典：TradingViewより、楽天ウォレットが作成

　一方で、量子対応を巡る開発者コミュニティーと業界・一般コミュニティーの温度差は、2017年のSegWit実装時を思い起こさせる。当時はスケーラビリティ対策として「SegWit（アルゴリズム一部変更）」か「ブロックサイズ拡大」かで開発者とマイナーが対立し、結局BTCとBCHにハードフォーク（旧仕様と互換性のない大規模なルール変更が行われ、チェーンが永久に分岐する現象）した。

　現在の状況も似ており、立場の違いが話し合いでは解決しにくく、対立が深まる可能性がある。ただ、当時の対立で相場は一時低迷したものの、ハードフォーク後は上昇に転じた。

出典：TradingViewより、楽天ウォレットが作成

　今回も対応が決まるまで紆余（うよ）曲折があり、ハードフォークの可能性もゼロではないが、対応が完了した後には相場が上昇する可能性は十分にあると考える。

　ただし、最大のリスク要因は依然としてサトシ時代に生まれた約170万BTCだ。これらが一気にハッキングされ市場に放出されれば、供給ショックで相場は大きく下落する恐れがある。また、ハッキングそのものがBTC全体への信用失墜を招くとの指摘もある。

　ハッカーは盗んだBTCをすぐに量子耐性アドレスへ移動させるだろうが、外から見れば「所有者が自主的に量子対応した」のか「ハッキングされた」のか区別がつかない。普通に考えれば、ハッカーは盗んだ価値を最大化しようとするため、大量即売却で相場を大崩れさせる可能性は高くない。

　ただし、サトシ分は注目度が極めて高いため、移動があれば市場は敏感に反応し、大幅下落の引き金になるリスクは確かにある。一方で、サトシ分に手を付けると目立ちすぎて犯人特定が進みやすい。そのため、目立たないサトシ分以外の約60万BTCが狙われる可能性の方が高いかもしれない。

　現時点の開発状況や追跡技術を考慮すると、そうした事件が起きても犯人特定は比較的容易で、「差し迫った危機」とまでは言えないとの冷静な見方も存在する。

令和のY2Kにすぎない？正しい理解と冷静な判断が必要

　量子コンピュータの脅威は、昔のY2K騒動（1999年から2000年に年が切り替わる際、コンピュータシステムが日付を正しく認識できなくなり、世界中で誤作動や甚大な被害が発生するのではないかと懸念された騒動）に似ている気がする。

　古いコンピュータが西暦を下2桁だけで扱っていたため、2000年1月1日を1900年と勘違いして誤作動を起こすのではないか、核ミサイルが飛んでくるのでは、と当時は大騒ぎになった。筆者自身、当時日本銀行のオペ入札を担当しており、大みそかに銀行に泊まり込んで、除夜の鐘とともに日銀ネットの動作確認をしたのを覚えている。結局、核ミサイルは飛んでこなかった。

　量子コンピュータにもリスクは確かにあるが、対策は存在する。きちんとした知識を持って、必要以上に楽観的にも悲観的にもならず、清々と準備を進めていくことが大切だろう。

（松田　康生）