ビットコインの量子耐性獲得は慎重さが鍵となる｜早すぎる決断がもたらしうるリスクを解説

加藤規新 • 2026年04月20日

ビットコインの量子耐性獲得への道筋が話題になっています。2026年3月末にGoogle社とOratomic社がそれぞれ論文を発表し、それらがビットコインの長期的なセキュリティに対する議論を巻き起こしました。

Google社の論文は公開鍵から秘密鍵を逆算するショアのアルゴリズムについて、従来より大幅に少ない量子ビットで実装できる計算モデルを、Oratomic社の論文は中性原子方式と呼ばれる種類の量子コンピュータの構造について、効率的な誤り訂正の実現によって、これまで考えられていたより少ない物理量子ビットからなる量子コンピュータでショアのアルゴリズムが実行できるようになる見通しをそれぞれ発表したものです。

ビットコインの量子耐性獲得については、本稿でも過去に何度か取り上げたとおり、定期的に取り上げられる話題です。例えば2024年6月にはSQIsignという署名アルゴリズムを採用した新たなアドレスタイプ「P2QRH」を導入しようというソフトフォーク提案がなされました。この提案は後に大きく内容を変更し、今は「P2MR」を提案するBIP360として知られます。その過程で内容がもはや量子耐性獲得と呼べるか微妙なラインになっていることを、三倉さんも最近の記事で指摘しています。

今回、普段よりも量子耐性が大きな話題となった背景には、「Googleの論文というネームバリュー」「Google論文の共著者がイーサリアム財団所属の自称ビットコインセキュリティリサーチャー」「論文の中でビットコインのセキュリティへの言及」というバズりやすい要素や、価格が低迷していることによる市場参加者の焦り、その市場参加者の不安を煽ることで投資先に話題を集めようとする一部のVCなどが影響しています。

もちろん、ビットコインが長期的に量子耐性を獲得しなければならないこと自体は事実です。また、実際のところビットコイン開発者の間で量子耐性獲得についての意見交換は行われていますが、なにを導入するか、いつ導入するかの目処は立っていません。しかし、時価総額が240兆円におよぶビットコインに変更を加える際には慎重に進めることが重要です。

この状況について、SNSでは存亡的危機を煽るような過激な意見と、それに反発する逆方向に過激な意見（量子コンピュータは実現不能である等）が目立つので、今回の記事ではなぜビットコインの量子耐性獲得を慎重に進めるべきかについて、見落とされがちな冷静な視点を提供します。

暗号解読に有効な量子コンピュータ（CRQC）完成のリスクは現実にあるが、おそらくまだ遠い

まず改めて認識しておくことが重要な論点として、量子コンピュータというのは製造するのが非常に難しい技術であることが挙げられます。

いまのところ5種類の方式が存在しますが、いずれにしても１つ１つの原子や光などを量子重ね合わせの状態にするだけでなく（「物理量子ビット」）、多数の物理量子ビットを連結して量子もつれの関係にし、確率的に発生する誤りを訂正する機構を含む「論理量子ビット」を構成する必要があります。意味ある計算内容を実行するには、その上で多数の論理量子ビットで回路を構成し、各所で誤りの原因になるノイズの影響を減らし、実際にアルゴリズムを実行し結果を観測するところまで行う必要があり、途中のすべてのステップで難しい科学的・工学的課題があります。

もちろん各論文が提示する研究内容はいずれかのステップを改善するものですし、飛躍的な改善ともいえる数字を見れば5年後もどうなっているかわからない…という感覚も理解できます。しかし、私も量子コンピュータの専門家ではないので断言するのは避けますが、上述の通り多数の課題があるため１つのブレークスルーですべてが急速に進むようになるタイプの技術ではない印象があります。仮にそうだったとしたら、これまでの数十年間で数十論理量子ビットを超える量子コンピュータを作ることができていないことにいまいち納得できません。

💡

もう１つ指摘したいのは、まだ商用化できる水準にない量子コンピュータの研究をしている機関（大学や量子コンピュータスタートアップ）はいずれも研究費や資金調達のために成果をアピールしなければならないという構造も意識してしまいます。彼らはバズを狙い危機を煽ることで経済的に得しますが、逆に慎重意見を言っても誰もお金はくれません。

暗号解読に有効な量子コンピュータ（CRQC）が実現するのが5年後なのか50年後なのかわからないこと自体が、実際にはビットコインの量子耐性獲得にはエコシステムまで含めると数年単位で時間がかかることと合わせて不安の原因になっているのも事実かと思います。確かに、プロトコルのアップデートだけでなく、量子耐性のあるアドレスへの資金の移動、取引所やウォレットなどのソフトウェアや運用体制の対応など、大きな金額を守るネットワークなので簡単に切り替えられるものではありません。

幸い、いわゆる「Qデー」が到来するまで開発者やビットコイン保有者など各種ステークホルダーが全く何も考えずに過ごしているわけではないので、ビットコインを扱うための特徴が揃っていると十分に確信の持てる量子耐性暗号が出てくれば事前に慎重に対応を進めていくことができるでしょう。この半年ほどで良くも悪くも議論が活発化してきているので、議論されている内容を理解できるよう自分も少しずつキャッチアップを始めました。

尚早な対応によって発生するリスクとのバランスを考える必要がある。検討すべき4項目

量子耐性暗号に十分に確信を持つには何が必要でしょうか？ビットコインの視点でいえば、単に量子耐性を獲得できればいいというものではなく、

できるだけスケーラビリティへの悪影響が少ないこと
既存の様々なツール（例えば階層的決定性ウォレットやマルチシグの仕組み）に対応できること
そして何より新たな脆弱性を導入しないものである

という十分な検証がされることが望まれます。

仮にスケーラビリティに悪影響が小さくても、シードフレーズという形で簡単にバックアップできなかったり、アドレスの再利用が（今までの非推奨とは違い）致命的なセキュリティリスクになるような場合、ビットコインのユーザビリティは大きく損なわれ、既存のエコシステムに蓄積した技術革新も多くが無用の長物となってしまいます。ウォレットの対応だけでも数年かかるでしょう。

したがって、量子耐性暗号を導入するとしたら検討すべき項目は以下のようになります。

1．新たな脆弱性を導入して、240兆円に及ぶビットコインをリスクに晒さないこと

量子耐性暗号が実は脆弱でした、というオチ以外にも、量子耐性の導入に際して既存の何かが壊れるリスクなどもありますし、後述するエコシステムの対応が脆弱になる可能性もあります。

2．ウォレット、取引所、マイニングなど既存のエコシステムに膨大な変更を余儀なくされないこと

セキュリティ要件が重い取引所やカストディアンは動きが遅いですし、ウォレットは大量にあって開発者のレベルも様々です。場合によっては既存の共通規格（シードフレーズ、階層的決定性ウォレットなど）が使えなくなったりすることも考えられます。

3．ビットコインのユーザビリティを損なう度合いが少ないこと（署名サイズによるスケーラビリティへの影響など）

量子耐性暗号によって署名サイズは様々ですが、署名サイズが大きいと1ブロックに含められるトランザクション数が減少するので、当然小さいほど良いです。（本質的には、検証に必要な計算時間も短いほどいいです。）量子耐性獲得がブロックサイズの大幅な拡張など他の変更とセットになってしまうと、コミュニティの意見が割れやすく政治的に受け入れられにくくなってしまうリスクがあります。

4．できる限りベストな方式であること（大きな変更なので、一時的な解決策のためにリソースを浪費しないこと）

個人的な意見としては、ここに「既存ホルダーの財産権を制限しないこと（コインの凍結をしないこと）」「他の変更とセットで提案しないこと」あたりはポリシーとして望みたいところです。

簡単にまとめると、いま量子コンピュータが怖いからといって焦って下した決断が後に致命的なものだと判明したら大変なので、あくまで慎重に、着実に進めることが大事だということです。幸い、問題が注目を浴びるにつれ、優秀な開発者の意見が集まりやすくなる側面もあります。

💡

最近読んだ記事で面白かったのは、同種写像暗号と呼ばれる種類の量子耐性暗号であればビットコインのこれまでの使い方をほぼ踏襲できるのではないかというものでした。逆に、署名サイズの小ささと概念的なシンプルさから現在いくつか提案の出ているハッシュベース署名という方法はビットコインの可能性を狭めるものなのかもしれないと思うようになりました。

心配な場合：個人でもできる3つの量子対策

black hiking backpack near white Fujifilm instax mini camera near black leather boots, red half-zip jacket, gray pocket watch on white map

ビットコインの量子耐性獲得は数年はかかる長期的な課題ですが、それまでも心配というのであれば個人でできる対策もいくつかあります。いずれの対策も性能が低い量子コンピュータによって数日以上かけて狙われる場合（Long Exposure攻撃／Long Range攻撃）の対策であり、短時間で攻撃（Short Exposure攻撃／Short Range攻撃）できるようになった時点ではビットコイン側で対策がなければ送金は難しくなります。

対策1：P2WPKHアドレスへの移行とアドレス再使用回避の徹底

長期間かけて公開鍵から秘密鍵を逆算する、いわゆるLong Exposure攻撃はブロックチェーン上にそのアドレスに対応する公開鍵が記録されていることが前提となります。受け取ったきり、一度も送金をしていないP2WPKHアドレスは公開鍵がまだ書き込まれていない（アドレスは公開鍵のハッシュ値）ので、Long Exposure攻撃の対象にはなりません。（そもそも、かなり大きな金額が入っているアドレスでなければ優先的に攻撃されることもないとは思いますが。）

アドレスを再使用してしまうと、以前に残高を送金に使った際に書き込まれた公開鍵を元にLong Exposure攻撃が可能となってしまうのでアドレスは使い捨てにしましょう。プライバシーの面からもそれが好ましいです。

ビットコインアドレスの種類については三倉さんの記事をご覧ください。

ライトニングノードを動かしている場合は、プライベート（非公表）チャネルかつ非Taprootチャネルにすることによってチャネルの公開鍵の露出を限定することができます。現状だとパブリックチャネルはチャネルの保有証明のためにライトニングネットワーク上でそれぞれのチャネルの作成に使用した公開鍵をアナウンスしてしまいます。非公表チャネルの場合は、開設相手が漏らさない限りは大丈夫です。

対策2：UTXOの集約

ウォレットやライトニングノードを長期間使っていると、UTXOが数百個に及ぶこともあります。いつか導入される新しいアドレス形式の導入に際しては恒常的な送金需要が見込まれるので、それを見越して手数料が安いうちにある程度集約してしまいましょう。そのときは必ず新しいP2WPKHアドレスに。

💡

逆に金額の大きいUTXOから狙われるので集約しないほうがいいという意見もありますが、P2WPKHを使えばLong Exposure攻撃の対象外になりますし、いずれにせよ上から数えて狙うほどの金額を保有されている場合以外は移行コストが安くなるメリットが勝ると思います。プライバシーが損なわれるというデメリットはあるので、そこが気になる方は工夫しましょう。

対策3：ビットコインの売却と再購入

それでも不安な方は、いっそビットコインを売ってしまって、量子耐性獲得の進捗に満足したタイミングで買い戻してはいかがでしょうか。ビットコインが量子コンピュータに対応できないと思っているのなら当然の行動ですし、そうでない場合は安心をお金で買う的な発想です。その間、何を持てばいいのかという問題はありますが…。

まとめ：焦らず慎重に、そしてできることもある

・ビットコインにおける量子コンピュータ耐性の問題は、ここ半年で議論が活発になってきたが、依然として明確な道筋は見えていない。

・暗号解読に有効な量子コンピュータ（CRQC）がいつできるかは意見がまとまらないところだが、経済的インセンティブにより慎重派の意見が拡散されにくい構造がある。

・ビットコインの量子耐性獲得については、できる限り方法を吟味して新たな脆弱性とならないこと、これまで気づいたエコシステムを最大限再利用できること、分散性を犠牲にしないことなどを重視することが重要である。

・その間、心配であれば個人でも取れる量子対策がある。新しいP2WPKHアドレスに資産を集約すれば、Long Exposure攻撃の対策になるほか、将来的な移行時のコストが安く済む。

加藤規新

1994年生まれ、シカゴ大学でGISやコンピューターサイエンスを学び学士号取得。2016年末よりビットコインに関するリサーチや実験的な開発をしており、今までにいくつかのブログやサロンで解説を担当。ビットコインについて一番好きなところはパーミッションレスに誰でも使うことができること。 2024年11月より日本ビットコイン産業株式会社取締役。