量子運算破解ビットコインのカウントダウン？2030年こそ本当の危機年

Google 発表の Willow 量子チップは暗号コミュニティに恐怖をもたらし、KOLは「2026年にビットコインはゼロになる」と叫んでいる。しかし真実は：ビットコインを解読するには2,300から2,600の論理量子ビットが必要であり、従来のアーキテクチャでは200万から2,000万の実体量子ビットが必要だ。Willowはわずか105ビットであり、その差は4桁に達している。2030年前にはビットコインは比較的安全と考えられる。

量子脅威の真のタイムライン：2030年が鍵の年

量子計算の脅威について語るには、「解読可能」と「実際に解読できる」間の巨大なギャップを理解する必要がある。ビットコインのsecp256k1楕円曲線暗号は計算の複雑さに依存しており、理論上Shorアルゴリズムを用いれば解読可能だが、重要なのは「必要な量子ビット数」である。

ビットコインを解読するには約2,300から2,600の論理量子ビットと、数百億回の量子ゲート操作が必要だ。しかし、量子ビットはノイズに非常に敏感であり、誤り訂正メカニズムが必要となる。従来の表面符号アーキテクチャでは、論理量子ビット1つを作るのに1000の実体量子ビットが必要とされる。換算すると、ビットコインを解読するには200万から2,000万の実体量子ビットが必要となる。

Willowチップは105実体量子ビットしか持たず、脅威の閾値から4桁離れている。これは、トランジスタのラジオから現代のスマートフォンへの飛躍に相当する。IBM、IonQ、QuEraなどの企業は野心的なロードマップを掲げているが、最も楽観的な予測でも、数千の論理量子ビット閾値に到達するには2029年から2033年まで待つ必要がある。IonQは2028年に約1600論理量子ビットを達成する計画であり、IBMは2029年に200論理量子ビットのフォールトトレラント量子コンピュータを実現する予定だ。

真の危険なウィンドウは2030年から2035年にかけてだ。暗号学に関わる計算能力を持つ量子コンピュータ（CRQC）がこの期間に登場する可能性があり、ビットコインはそれ以前にプロトコルのアップグレードを完了しなければならない。2023年にニューヨーク大学のOded Regevが提案したShorアルゴリズムの改良版は、量子ステップを約20倍削減したが、必要な論理量子ビット数は依然として数千レベルだ。より重要な変数は、量子低密度奇偶校正符号（qLDPC）であり、理論上誤り訂正のオーバーヘッドを1000:1から10:1に削減可能だが、全く新しいハードウェアアーキテクチャのサポートが必要となる。

あなたのビットコインは安全ですか？2種類のアドレスの生死の差

量子計算の脅威はすべてのビットコインに等しく影響するわけではない。リスクを理解するには、2つのアドレスタイプの安全性の違いを区別する必要がある。

現代のビットコインアドレス（P2PKH、1、3、bc1で始まる）は、公開鍵の二重ハッシュ（SHA-256 + RIPEMD-160）を使用している。公開鍵自体は公開されず、ユーザーが取引を開始したときに初めてネットワークにブロードキャストされる。攻撃者は、取引がメモリプールに入り、ブロックに取り込まれるまでの約10分間に、公開鍵を傍受し、量子アルゴリズムを実行して秘密鍵を計算し、より高い手数料の置換取引を作成して資金を盗むことができる。この「伝送攻撃」は、CRQCを持っていても非常に難しい。

しかし、2009年から2010年にかけて、中本聡と初期のマイナーはP2PKスクリプトを使用し、原始的な公開鍵をブロックデータに直接露出させていた。攻撃者は取引を待つ必要はなく、ブロックチェーンの履歴をスキャンして数百万BTCの原始公開鍵を抽出し、オフラインでShorアルゴリズムを実行して秘密鍵を算出できた。これは典型的な「今集めて、後で解読」シナリオだ。

P2PKアドレスが直面する極端なリスク

露出規模：推定約200万から400万BTC、うち中本聡のウォレットに約110万BTC含む

攻撃タイプ：オフライン解読、待つ必要なく数年前から準備可能

時間ウィンドウ：CRQC登場後、数時間以内に資金が盗まれる可能性

ガバナンスのジレンマ：中本聡が姿を消した場合、コミュニティはこれらの資産をソフトフォークで凍結または破棄せざるを得なくなる

中本聡の110万BTCは、ビットコイン最大の灰色サイの一つとなる。量子耐性アップグレードが展開された後、ネットワークはこれら未移動のP2PK古いコインに対して決定を下す必要がある。秘密鍵の所有者が積極的に署名し、新しいアドレスに移動しなければ、CRQC登場とともにハッカーがこれらのコインを奪い、市場に売り浴びせるだろう。コミュニティは「私有財産は神聖不可侵」という原則を超えて、これらの資産を凍結せざるを得なくなる可能性があり、これはBCH/BTCの分裂よりも深刻な事態を招く。

ビットコインの三重防御システムはすでに進行中

潜在的な脅威に直面し、ビットコイン開発者コミュニティはただ座しているわけではない。抗量子技術は理論から実用へと進展しており、三重防御システムの構築が進められている。

第一の防御はP2TSH（Pay-to-Tapscript-Hash）で、BIP-360で提案された新しい取引出力タイプだ。この方式は既存のTaprootアーキテクチャを利用し、「鍵経路」の脆弱性を排除し、「スクリプト経路」のみを残す。スクリプト経路はハッシュ化されているため、量子コンピュータは内部構造を見破ることができない。このアップグレードは後方互換性があり、ソフトフォークで実施可能だ。

第二の防御はCommit-Delay-Reveal（コミット-ディレイ-リビール）緊急メカニズムだ。量子コンピュータが突如出現した場合、ユーザーは新しい量子安全アドレスのハッシュを含む取引を送信し、古い公開鍵と署名は含めない。この取引は一定のブロック数（例：144ブロック、約1日）だけチェーン上で待機させることが義務付けられる。遅延期間後、ユーザーは2番目の取引を送信し、古い公開鍵と署名を公開して資金を解放し、新しいアドレスに移す。量子攻撃者が「公開」段階で公開鍵を見ることはできても、最初の「コミット」でタイムスタンプが確立されているため、ブロックチェーンを巻き戻して自分の取引を挿入することはできない。

第三の防御はハッシュベースのLamport署名とWinternitzワンタイム署名（WOTS）だ。OP_CAT操作コードの復活に対するビットコインコミュニティの声が高まる中、開発者はハードフォーク不要で、ビットコインスクリプト内にWOTS署名の検証ロジックを直接記述し、無許可の抗量子アップグレードを実現できる。NIST標準のポスト量子暗号アルゴリズム（例：SPHINCS+）もビットコイン改良提案の議論に取り込まれている。

量子計算の到来はビットコインの終わりではなく、むしろ技術的アップグレードのカウントダウンだ。2030年から2035年は非常に危険なウィンドウであり、ビットコインはこの前にプロトコルのアップグレードを完了しなければならない。歴史は危機の中で進む。ビットコインが量子時代に生き残るかどうかは、コミュニティが脅威が本格化する前にこのアップグレードを完了できるかにかかっている。