2026年2月、Jameson Lopp氏らによってBIP-361「Post Quantum Migration and Legacy Signature Sunset(量子耐性への移行とレガシー署名の段階的廃止)」がドラフトとして提案されました。量子コンピュータの脅威に備え、既存のECDSA/Schnorr署名を段階的に廃止し、移行しなかったUTXOを実質的に凍結するという内容です。
公開鍵が露出しているビットコインは約34%あり、その中にはサトシのコインとされるものや、最初期に単純に失われたコインが死蔵されています。死蔵されていたものや、量子耐性アドレスへの移行が遅れたビットコインが一気に市場へ還流すると、価格崩壊とそれに伴うマイニングインセンティブの低下、ビットコインの安全性に対するネガティブ印象が付くなど問題意識としては理解できます。
しかしながら筆者は、BIP-361はもちろん、ビットコインの凍結について反対の意見をもっています。コミュニティでも反対意見の方が比較的多い印象です。本稿ではBIP-361の概要を解説し、なぜBIP-361や凍結に反対するのかについて6つの理由を説明します。
BIP-361や量子コンピュータに限らず、移行が必要なテーマが出てきた時には「凍結」が一つの手段として話題に上がると考えられます。凍結の話題が出た時の脳内シミュレーションとして読んでいただければと思います。
BIP-361とは何か:3段階の凍結提案
BIP-361は、量子コンピュータによる攻撃からビットコインを守るため、既存の署名方式(ECDSA/Schnorr署名)を段階的に廃止し、量子耐性アドレスへの移行を強制する提案であり、現在のステータスはドラフト状態です。ちなみにソフトフォークとなります。
スケジュールとして以下の3つのフェーズに分かれています。
Phase A(3年間):送金先の制限
BIP-361がアクティベートされてから3年間、量子耐性アドレスへの送金のみが許可されます。
現在使われているECDSAやSchnorr署名によるトランザクションも引き続き処理されますが、送金先は量子耐性アドレスに限定されます。
ソフトフォークとして実装されるため、未アップグレードノードには制限が及ばないものの、マイナーの大多数がアップグレードした場合には実質的な強制力があると考えられます。
Phase B(2年間):猶予期間 + 実質的な凍結
Phase Aの後の2年間の猶予期間です。Phase Bが終了すると、ECDSAおよびSchnorr署名による送金がネットワークによって拒否されるようになります。
つまり、BIP-361のアクティベートから5年後、現在使われているすべての署名方式が無効化されます。したがって、量子耐性アドレスへ移行していないビットコインは事実上動かせなくなるため、実質的な凍結となります。
Phase C(時期未定):凍結されたビットコインの救済措置
Phase Bの終了で凍結されたコインの救済措置としてPhase Cが設けられています。
BIP-39のシードフレーズ(12〜24単語)を保有している場合、ゼロ知識証明を用いて所有者の証明を行い、量子耐性アドレスへ資金を移動できるとされています。しかし、ドラフト時点では仕組みについて研究段階であり、具体的な実装方法は未定です。
BIP-361が前提している問題意識
量子コンピュータはECDSAが依拠する楕円曲線暗号の周期性をショアのアルゴリズムで解析することで、公開鍵から秘密鍵を導出できる可能性があります。
公開鍵が露出しているUTXOはLong Exposure攻撃(数日以上かけて行われる攻撃)の対象となり、2026年4月時点で全体の約34%が該当します。BIP-361は量子コンピュータの脅威を「現実的かつ緊急」と位置づけており、暗号解読に十分な量子コンピュータ(CRQC)の実用化を2027年〜2030年と試算した上で移行を強制する必要があると主張しています。
BIP-361に反対する6つの理由
BIP-361の概要と問題意識について解説しました。しかしながら、BIP-361のリスクはリターンを上回ると筆者は考えており、6つの理由について整理します。
- Q-Dayが不確定である以上、期限は決められない
- Phase Aだけでも破壊力が大きく、Q-Day以前に混乱をきたす
- 対象者が全員であり広すぎる
- 価格崩壊への懸念は過大評価されている
- Phase Cの救済は実質的に機能しない
- 凍結の慣習は将来的にビットコインを脅かす
1つずつ解説します。
理由① Q-Dayが不確定である以上、期限は決められない
まず、5年間という期限の根拠が不明瞭です。量子コンピュータ(CRQC)の実現が2027年〜2030年と試算されていますが、そうであれば今アクティベートしても2026年から5年後となると2031年となり、狙われる期間が生じてしまいます。さらに合意形成の期間が必要なため、凍結は2031年以降になってしまいます。
とはいえ、5年ではなく1年など短期にすればいいのかというと、私はそうとも思いません。
凍結日をQ-Dayより早く設定すれば財産権を失う期間が長くなり、遅く設定すれば凍結の取り組みが無意味になります。つまり、凍結をする場合は必ずQ-Dayよりも先に凍結日を迎える必要があります。
しかし、量子コンピュータの進化は線形的ではなく、科学・工学の両面で不確実性が高いため、Q-Dayの時期を正確に予測することは困難です。凍結日をどの日程に設定したとしても疑念が残る結果となってしまいます。
理由② Phase Aだけでも破壊力が大きく、Q-Day以前に混乱をきたす
BIP-361がアクティベートされると、Phase A段階で量子耐性アドレスにしか送金できなくなります。つまり、現存するアクティブなビットコインユーザーが多大な影響を受けてしまいます。
個人レベルでは何とか追随できる可能性がありますが、取引所やビットコインの決済システム、Lightningエコシステムなどには大きな影響があります。Phase Aには猶予期間が与えられていないので、すぐさま送金先を量子耐性アドレスにシステム移行する必要があります。急ぎでの移行はバグを生みハッキングの温床になります。量子耐性アドレスがどのようなものかもまだわからないので、安全性の検証にも時間が必要です。
さらに、「量子耐性アドレス移行サービス」のようなスキャムサービスが生まれ、被害者が続出する可能性があります。
取引所や決済システム、Lightningエコシステムの関係者はビットコインの動向を常に追っており、量子耐性アドレスへの移行が可能になれば自主的に対応するはずです。彼らに強制移行を課す必要はないと考えます。
BIP-361の趣旨は量子コンピュータによる混乱を防ぐため、移行を促し、所有者がいないと思われるビットコインを動かせなくすることでした。しかし皮肉なことに、Q-Day以前にBIP-361そのものが大規模な混乱を引き起こす可能性があります。
理由③ 対象者が全員であり広すぎる
BIP-361の強制移行および凍結の対象はすべてのビットコインとなります。したがって、現存するすべてのビットコインユーザーはBIP-361のタイムラインを把握し、凍結日までに量子耐性アドレスへ移行しなければなりません。
たしかに量子コンピュータの脅威にさらされるコインは現時点においてすべて該当します。しかし量子コンピュータの攻撃は「Long Exposure攻撃」「Short Exposure攻撃」という時間軸の異なる2種類の攻撃があります。
- Long Exposure攻撃:ブロックチェーン上に露出した公開鍵を標的にした攻撃(まったり攻撃できる)
- Short Exposure攻撃:トランザクションがmempoolに入り露出した公開鍵に対し、承認されるまでの短い期間で実施される攻撃(時間制限があるので攻撃が難しい)
そして、公開鍵が露出している約34.6%は「Long Exposure攻撃」の対象であり、Short Exposure攻撃よりも費用対効果および取り組みやすさの面で攻撃優先度が高いです。逆に言えば、残りの約65.4%は「Long Exposure攻撃」と同じタイムラインで急ぐ必要がないのにも関わらず、BIP-361がアクティベートされると従う必要があり、5年経過するとオンチェーンに公開鍵が露出されていなくても凍結されてしまいます。
また、BIP-361の趣旨に沿って凍結すべきコインについて検討すると、さらに少ないものと考えられます。以下の赤、黄、緑は公開鍵が露出したコインの割合です。
赤(Never Spent):一度も動かされていないコイン(主にP2PK、P2TRなどの公開鍵が露出するアドレス形式)
- 黄(Inactive):主に再使用により公開鍵が露出したコイン
- 緑(Active):1年以内に動かされたコイン
緑(Active)は1年以内に動かされたコインであり、所有者が現存している可能性が高いです。つまり、34.6%から緑の17.03%を除いた17.57%あたりが最終的にLong Exposure攻撃のリスクのある対象になると考えられます。また、黄(Inactive)で1年以上動かしてないが保有者が現存する場合も一定数あるでしょう。
つまり、BIP-361は約17.57%の凍結対象を炙り出すために全体(100%)を巻き込む強制的な取り組みであり、影響範囲が広すぎると考えます。また、単純に気付かなかった、あるいは忘れていたという理由で、残りの約82%のコインまで凍結される被害が生じる可能性があります。
P2PKやP2TRなど、量子コンピュータとアドレスの関係は以下の記事でも触れられていますので、ご興味があればご確認ください。
三倉 大司
理由④ 価格崩壊への懸念は過大評価されている
ビットコインはPoWであり、保有量は特段権力を持ちません。仮に量子コンピュータで大量のビットコインを入手したとしても、攻撃者にできることは売却・保有・決済利用程度です。
量子コンピュータの運用には施設・エネルギーコストがかかるため、攻撃者がコストを回収するにはビットコインの価格が維持された状態で緩やかに売却する方が合理的です。価格崩壊を狙うテロ的な動機があったとしても、莫大なコストが抑止力になります。
仮に価格崩壊が起きても、ビットコインのマイニングには恒常性があります。損益が合わなくなったマイナーが撤退すれば、残ったマイナーの採算が改善されます。そして、価格にも恒常性があり、ビットコインが継続すると考えるのであれば安く多くのビットコインを入手できるチャンスでもあります。
BIP-361によって凍結する場合、こうした市場原理を確認する機会が失われ、価格崩壊への不安は残り続けることになります。
理由⑤ Phase Cの救済は実質的に機能しない
BIP-361の凍結コインに対する救済方法はシードフレーズ(BIP-39)の有無で判別するというものでした。しかしながら、BIP-39(2013年)以前のアドレスについてはシードフレーズが無いため、救済が不可能となります。
そして、量子脆弱として注目されているアドレス形式は「P2PK」(全体の約8.57%)であり、多くはサトシ・ナカモトの時代に使われていたものとされているため、シードフレーズが存在しない可能性が高いです。
そのため、約8.57%は元々Phase Cで凍結救済できないコインであり、半永久的に凍結されてしまいます。また、Phase Cの救済の実装については研究段階であり、実際に実装されるかも定かではありません。
理由⑥ 凍結の慣習は将来的にビットコインを脅かす
BIP-361に限らずビットコインの凍結の前例を作ってしまうと、今後またビットコインの移行イベントが生じた際に凍結の議論が浮上し、前例から容易に凍結の方針へ舵が切られてしまう可能性があります。
凍結によって永久に動かせないコインが増え続けると、長期的には流通するビットコインの供給が減少し続けます。ユーザビリティの低下やカストディアンへの依存を招くリスクがあります。
凍結したコインをP2PKの形で永久に死蔵するよりも、仮に量子コンピュータによって奪われたとしても市場に還流される方が、長期的には健全でシンプルであると考えます。また、凍結されたコインがいつか何らかの形で動かされるのではないかという不安やFUDは、凍結が続く限り残り続けることでしょう。
そもそも、「放っておいたらビットコインがコミュニティによって凍結されてしまった」という実例を作ることがビットコインへの信頼性を損ねます。量子コンピュータ(CRQC)ができたからといって、処理には時間がかかるためすぐさま全てのビットコインが奪われないし、リターンの小さい細々としたUTXOは無視されるでしょう。攻撃者ではなく、ビットコインコミュニティによって凍結されてしまうことは、行き当たりばったりのイメージを強め、将来的な財産権の剥奪に恐怖心を抱き続ける要因にもなります。
量子耐性獲得に向けた考え方についてキシンさんの記事で確認できます。「コインの凍結をしないこと」にも触れられており、私も焦らずに入念に検討することが重要であると考えます。
加藤 規新
まとめ:凍結は財産権を奪い、ビットコインの信頼性を毀損する
BIP-361の概要と、BIP-361や凍結に対してなぜ反対するかについて情報を整理しました。
BIP-361に限らず、今後発生するいかなる議論においても「凍結」は基本的に避けるべきであると考えます。永久的な凍結が生じる場合は長期的なビットコインの信頼性に関わり、ビットコインの存続自体を脅かすものと考えます。
また、凍結の議論の前に量子耐性アドレスの検討に集中する方が建設的です。
凍結という措置なしに、ビットコインの恒常性によってQ-Dayを乗り越えることができれば、ビットコインが今後も存続できる証明となるでしょう。
次の記事
読者になる
ビットコイン研究所の新着記事をお届けします。
ディスカッション