Googleの量子研究により、Taprootのリスクを伴うビットコインが必要クブит数の少なさで脆弱になることが判明

GoogleのQuantum AIチームは、2026年3月30日付の研究で、ビットコインとイーサリアムの楕円曲線暗号を破るには、500,000個未満の物理量子ビットと、約1,200〜1,450個の高品質な論理量子ビットが必要になる可能性があり、以前の推定（数百万規模）よりも大幅に少ないと示しています。

この論文は、リアルタイムの量子攻撃によってビットコインの取引が約9分で乗っ取られ、確認が行われるまでに約41%の確率でそれを上回る可能性があると警告しており、また、公開鍵がデフォルトで見えるようにするビットコインのTaprootアップグレードによって、脆弱なウォレットの母数が推定6.9百万ビットコインにまで広がったことを指摘しています。

量子資源の推定が必要量子ビットを20倍削減することを示す

Googleの研究者は、ビットコイン、イーサリアム、そして多くの他のブロックチェーンネットワークの暗号基盤となっている256ビットの楕円曲線離散対数問題（ECDLP-256）に対するShorのアルゴリズムを実装した2つの量子回路を取りまとめました。1つ目の回路は1,200論理量子ビット未満と9,000万Toffoliゲートで済み、2つ目の回路は1,450論理量子ビット未満と7,000万Toffoliゲートで済みます。

研究者らは、これらの回路は、超伝導量子ビットを用いた暗号学的に関連する量子コンピュータ（CRQC）で、物理量子ビットが500,000個未満であれば、数分以内に実行可能だと見積もっています。これは、一部のGoogleの主要な量子プロセッサと整合するハードウェア能力を前提としています。この結果は、ECDLP-256を解くために必要な物理量子ビット数が、以前の推定と比べて約20分の1に削減されることを意味しており、フォールトトレラント回路への量子アルゴリズムのコンパイルを段階的に最適化していく傾向を継続するものです。

Googleは以前、有用な量子システムに向けたマイルストーンとして2029年を挙げており、更新された資源推定は、現在の技術と実行可能な攻撃とのギャップが、以前に想定されていたよりも小さい可能性を示唆しています。同社は2016年以来、ポスト量子暗号への移行に向けた取り組みを主導してきました。

リアルタイムの取引攻撃は確認を41%の時間で上回り得る

この研究では、飛行中（in-flight）のビットコイン取引を対象とする2つの潜在的な攻撃手法を示しています。ビットコインの取引がブロードキャストされると、送信者の公開鍵が取引が確認されるまでの間に一時的に明らかになります。十分に高速な量子コンピュータなら、その公開鍵から対応する秘密鍵を計算し、元の取引が決済される前に資金を再誘導できます。

Googleのモデルでは、量子システムが計算の一部を事前に準備し、取引がネットワークに現れてから約9分で攻撃を完了できる可能性があります。ビットコインの取引は通常、確認までに約10分かかるため、攻撃者は、元の送金が確定する前に資金をうまく再誘導できる確率をおよそ41%持つことになります。

イーサリアムは、より速いブロックタイムによって攻撃の余地が少ないため、この特定のリスクへの露出はビットコインより小さいかもしれません。しかし、両ネットワークはいずれも同じ楕円曲線暗号の基盤に依存しており、将来の量子脅威に対して安全を維持するにはポスト量子への移行が必要になります。

Taprootのアップグレードが潜在的な量子攻撃により多くのウォレットをさらす

この論文は、約6.9百万ビットコイン（総供給量の約1/3）が、何らかの形で公開鍵が露出した状態のウォレットにすでに保管されていると推定しています。これには、ネットワーク初期の約1.7百万ビットコイン、アドレス再利用の影響を受けた資金、そして2021年に導入されたTaprootアドレス形式を使って保管されているビットコインが含まれます。

ビットコインの2021年のアップグレードであり、プライバシーと効率を改善することを目的としたTaprootは、公開鍵をブロックチェーン上でデフォルトで可視化し、古いアドレス形式で用いられていた保護の層を取り除きました。Googleの研究者は、この設計上の選択により、将来の量子攻撃に対して脆弱なウォレット数が増える可能性があると述べています。露出した公開鍵によって、攻撃者がレガシー・アドレスを守るハッシュ関数を破る必要がなくなるためです。

この結果は、盗まれた場合に市場を大きく動かし得るほど集中しているのは約10,200ビットコインだけだと主張したCoinSharesの最近の推定と対照的です。Googleの分析は、リスクにさらされているビットコインのプールが、はるかに大きいことを示唆しています。

Googleがゼロ知識証明を用いて脆弱性を開示し、攻撃ロードマップを回避

Googleは、不正な行為者に対するロードマップを提供することなく、量子脆弱性に関する研究を開示する新しい手法を開発しました。暗号システムを破る方法の手順を段階的に公開するのではなく、チームは、基盤となる手法を露出させることなく、自分たちの発見が正確であることを示すためにゼロ知識証明を用いました。これにより、第三者は結果を検証できる一方で、研究が悪用されるリスクを制限できます。

同社は、この開示アプローチの開発において米国政府と協業し、他の研究チームにも同様の実践を採用するよう促しました。Googleは、ブロックチェーン技術におけるセキュリティ脆弱性の開示は、暗号資産がデジタルセキュリティと一般の信頼の両方から価値を得ているという事実によって複雑になる、と指摘しました。また、非科学的な資源見積もりは、それ自体が恐怖、不確実性、疑念を通じた攻撃として機能し得るとも述べています。

研究は、ポスト量子暗号への移行というより広範な業界の取り組みの一環として、スタンフォード・ブロックチェーン研究所、イーサリアム財団、Coinbaseとの協力により実施されました。

ポスト量子暗号移行に向けた提言

Googleの論文は、量子攻撃が実行可能になる前に、暗号資産コミュニティのセキュリティと安定性を改善するための提言を示しています。主要な提言は、ブロックチェーンをポスト量子暗号へ移行することです。これは量子攻撃に耐性があり、ポスト量子のブロックチェーン・セキュリティに向けた、よく理解された道筋を示します。

追加の提言には、脆弱なウォレットアドレスを公開したり再利用したりしないこと、資金が使われるまで公開鍵を開示しないアドレス形式の採用を加速すること、そして脆弱になり得る放置された暗号資産に対処するための政策オプションを検討することが含まれます。

研究者らは、有効なポスト量子ソリューションは存在するものの、分散型ネットワーク全体で実装するには時間がかかり、行動の切迫感が高まると指摘しました。Googleの2029年の「有用な量子システム」向けのタイムラインは、差し迫った脅威というよりは移行のための目標ですが、更新された資源推定は、計画の期間が従来より短い可能性を示唆しています。

FAQ

ビットコインの暗号を破るのに必要な量子ビット（qubit）の数はどれくらいですか？

Googleの研究者は、ビットコインとイーサリアムで使われている楕円曲線暗号を破るには、500,000個未満の物理量子ビットと、約1,200〜1,450個の高品質な論理量子ビットが必要になると見積もっています。これは、数百万規模の範囲に及んでいた以前の推定から20分の1に相当します。

ビットコインのTaprootアップグレードは量子の脆弱性にどのような影響を与えますか？

Taprootはビットコインの2021年のアップグレードで、公開鍵をブロックチェーン上でデフォルトで可視化し、古いアドレス形式で用いられていた保護の層を取り除きます。Googleはこれにより、脆弱なウォレットの母数が約6.9百万ビットコインまで拡大したと推定しており、これにはネットワーク初期の約1.7百万ビットコインが含まれます。

ビットコインへのリアルタイムの量子攻撃はどのように機能しますか？

攻撃者は、ブロードキャスト時に公開される公開鍵を使って、十分に高速な量子コンピュータにより対応する秘密鍵を計算し、飛行中の取引を狙うことができます。Googleのモデルでは、攻撃は約9分で完了でき、約41%の時間で10分間の確認ウィンドウを上回る可能性があります。