こうした考慮事項に基づき、私たちは、楕円曲線暗号に基づくブロックチェーン技術への量子攻撃に必要なリソースを見積もる際の慎重な開示アプローチを採用します。まず、ブロックチェーンが量子攻撃に免疫がある領域を明確にし、後量子ブロックチェーンのセキュリティにおいて達成された進展を重点的に紹介することで、私たちが議論する FUD リスクを低減します。次に、基盤となる量子回路の詳細を共有せずに、最先端の暗号学的構成である「ゼロ知識証明」という仕組みを公開することで、敏感な攻撃の詳細を漏らさずに、第三者が私たちの主張を検証できるようにしながら、私たちのリソース見積もりを裏付けます。
Google Quantum AI公式発表:ビットコインの暗号解読に必要な量子ビット数が20倍削減
作者:Ryan Babbush & Hartmut Neven、 Google Quantum AI
翻訳:深潮 TechFlow
深潮解説:これは今日の量子脅威に関する議論の一次情報であり、メディアによる言い換えではありません。Google の量子 AI 研究総監および VP Engineering が共同で発表した公式技術ブログです。
核心的な結論は 1 つだけです。これまで見積もられていた、ビットコインの楕円曲線暗号を解読するのに必要な物理的量子ビット数が、約 20 倍にまで縮小されました。Google は同時に「ゼロ知識証明」の方式で検証用の資料を公開し、第三者が攻撃の詳細を漏らすことなく結論を検証できるようにしています——この開示の仕方自体も注目に値します。
全文は以下のとおりです:
2026 年 3 月 31 日
Ryan Babbush、Google 量子 AI 量子アルゴリズム研究総監;Hartmut Neven、Google Quantum AI、Google Research エンジニアリング副総裁
私たちは、将来の量子コンピュータによる暗号解読能力を明らかにするための新しいモデルを探っており、その影響を低減するために取るべき手順を概説します。
量子リソースの見積もり
量子コンピュータは、これまで解決できなかった問題、たとえば化学、創薬、エネルギー分野での応用を解決できる可能性があります。しかし、大規模な暗号学関連の量子計算機(CRQC)もまた、現在広く使われている公開鍵暗号を解読し得ます。こうした暗号は、人々の機密情報など、さまざまなシステムを保護しています。Google を含む各国政府や機関は、長年この安全上の課題に取り組んできました。科学技術の継続的な進歩に伴い、CRQC は現実のものとして段階的に近づいており、後量子暗号(PQC)への移行が求められます。これは、私たちが最近提案した 2029 年の移行スケジュールの理由でもあります。
私たちのホワイトペーパーでは、楕円曲線暗号の解読に基づく 256 ビット楕円曲線離散対数問題(ECDLP-256)に必要な量子計算の「リソース」(すなわち量子ビットと量子ゲート)の最新の推定を共有します。私たちは、論理量子ビット(数百の物理量子ビットから構成される誤り訂正量子ビット)と Toffoli ゲート(量子ビット上でのコストが高い基本操作で、多くのアルゴリズムの実行時間を決定する主要因)という数を用いて、リソース見積もりを表現します。
具体的には、私たちは ECDLP-256 を実現するための 2 つの量子回路(量子ゲートの列)をコンパイルしました。1 つは 1200 未満の論理量子ビットと 9000 万個の Toffoli ゲートを使用し、もう 1 つは 1450 未満の論理量子ビットと 7000 万個の Toffoli ゲートを使用します。Google の一部の主要な量子処理器と整合する、標準的なハードウェア能力に関する仮定の下で、これらの回路は 50 万未満の物理量子ビットからなる超伝導量子ビットの CRQC 上で数分以内に実行できると推定しています。
これは、ECDLP-256 を解読するのに必要な物理量子ビット数における約 20 倍の減少であり、量子アルゴリズムを誤り訂正回路へコンパイルするという長い最適化のプロセスの延長でもあります。
後量子暗号による暗号資産の保護
ほとんどのブロックチェーン技術と暗号通貨は、現在 ECDLP-256 を安全性を担保する重要な側面として依存しています。私たちが論文で論じたとおり、PQC は後量子ブロックチェーンのセキュリティを実現するための成熟した道筋であり、CRQC が存在する世界において暗号通貨とデジタル経済の長期的な実現可能性を支えることができます。
私たちは、後量子ブロックチェーンの事例を列挙し、もともと量子の脆弱性が存在していたブロックチェーン上で PQC を実験的に展開したケースを示しました。私たちはまた、PQC などの実現可能な選択肢がすでに存在する一方で、導入には時間がかかるため、行動の緊急性が日々高まっていることを指摘しています。
私たちはさらに、暗号資産コミュニティに対し、短期および長期の両面で安全性と安定性を改善するための追加の提言も行います。たとえば、脆弱性があるウォレットアドレスを公開したり再利用したりしないこと、ならびに放棄された暗号資産の問題に関する潜在的な政策オプションです。
私たちの脆弱性開示のあり方
セキュリティ脆弱性の開示は、議論のあるテーマです。一方では、「不開示」という立場は、脆弱性を公開することは攻撃者に操作手順を与えることだと考えます。他方では、「完全開示」運動は、一般にセキュリティ脆弱性を知らせることは、国民が警戒し自衛措置を取るのに役立ち、同時にセキュリティ修正(パッチ)作業を促進すると考えています。コンピュータセキュリティの分野では、この論争は「責任ある開示」および「調整された脆弱性開示」と呼ばれる一連の折衷案へと収束しています。双方とも、禁輸期間(リリース停止期間)を設定したうえで脆弱性を開示し、影響を受けるシステムに安全な修正を打ち出すための時間を確保するべきだと主張しています。カーネギーメロン大学 CERT/CC や Google の Project Zero などの一流のセキュリティ研究機関は、厳格な締切日を伴う責任ある開示の変種を採用しており、この手法は ISO/IEC 29147:2018 という国際標準にも採用されています。
ブロックチェーン技術におけるセキュリティ脆弱性の開示は、さらに特別な要因によって複雑になります。暗号通貨は、単なる分散型のデータ処理システムではありません。デジタル資産の価値は、ネットワークのデジタルセキュリティに由来するだけでなく、システムに対する公衆の信頼にも由来します。デジタルセキュリティの層で CRQC の攻撃を受け得る一方で、公衆の信頼は恐怖、不確実性、疑念(FUD)といった技術によって侵食される可能性があります。そのため、ECDLP-256 を解読する量子アルゴリズムに関する非科学的で根拠のないリソース見積もりであっても、それ自体がシステムへの攻撃になり得ます。
こうした考慮事項に基づき、私たちは、楕円曲線暗号に基づくブロックチェーン技術への量子攻撃に必要なリソースを見積もる際の慎重な開示アプローチを採用します。まず、ブロックチェーンが量子攻撃に免疫がある領域を明確にし、後量子ブロックチェーンのセキュリティにおいて達成された進展を重点的に紹介することで、私たちが議論する FUD リスクを低減します。次に、基盤となる量子回路の詳細を共有せずに、最先端の暗号学的構成である「ゼロ知識証明」という仕組みを公開することで、敏感な攻撃の詳細を漏らさずに、第三者が私たちの主張を検証できるようにしながら、私たちのリソース見積もりを裏付けます。
私たちは、量子、セキュリティ、暗号通貨、政策の各コミュニティと、将来の責任ある開示の規範について合意を形成するためのさらなる議論を歓迎します。
この取り組みにより、私たちの目標は、暗号通貨エコシステムとブロックチェーン技術の長期的で健全な発展を支えることです。これらはデジタル経済において、ますます重要な位置を占めています。今後を見据えて、私たちは、責任ある開示の方法が、量子計算研究者とより広範な一般の人々との間で重要な対話を引き起こし、量子暗号解析研究分野において参考となるパターンを提供できることを願っています。