Google量子AIが突きつけた暗号通貨の「終わりの始まり」

ビットコインの暗号を破るのに必要な量子計算資源が、従来の推定から20分の1に縮小した。あなたのウォレットが安全でいられる時間は、思ったより短いかもしれない。

50万量子ビットで暗号が崩れる

Google Quantum AIが2026年3月31日に公開したホワイトペーパーが、暗号通貨の世界に衝撃を走らせている。ビットコインやイーサリアムが依存する楕円曲線暗号（ECC）を破るのに必要な量子計算資源が、これまでの想定から約20分の1に縮小したという研究結果だ。

これまで、暗号通貨の暗号を量子コンピュータで解読するには「数百万の物理量子ビット（qubit）が必要」というのが業界の共通認識だった。ところがGoogleの研究チームは、ショアのアルゴリズムを実行する2種類の量子回路を設計し、いずれも50万未満の物理qubitで楕円曲線離散対数問題（ECDLP-256）を解けると結論づけた。

具体的には、約1,200論理qubitと9,000万トフォリゲートを使用する回路と、約1,450論理qubitと7,000万トフォリゲートを使用する回路が示された。いずれも超伝導qubitベースの量子コンピュータ上で、数分以内に実行可能だとされる。

「数百万」から「50万未満」へ。この数字の圧縮が何を意味するか。量子コンピュータが暗号通貨を脅かす未来が、一気に現実味を帯びたということだ。

9分で秘密鍵が割れる

数字の衝撃はそれだけではない。論文が描く最悪のシナリオは、ビットコインのトランザクション処理の仕組みそのものを突く。

ビットコインでは取引を送信すると、公開鍵がネットワーク上に一時的に露出する。ブロックの承認には平均10分かかる。Googleの試算では、量子コンピュータが事前計算（プライミング）を済ませた状態から秘密鍵を導出するまでの所要時間は約9分。10分のブロック承認時間にギリギリ間に合う計算だ。

成功確率は理想的な条件下で約41%。コイントスより少し悪い程度だが、問題は「何度でも試行できる」ことにある。そしてもし解読速度があと数分短縮されれば、高額手数料をつけた取引ですら安全とは言えなくなる。

ホワイトペーパーは、こうした「オンスペンド攻撃」（送金時攻撃）の成功確率について、「手数料の高い取引でも、混雑が少ない時間帯であれば量子攻撃者に妥協される可能性が高い」と警告している。

690万BTCがすでに危険にさらされている

送金時の攻撃だけではない。もう一つの脅威は「アットレスト攻撃」、つまり静止状態のウォレットへの攻撃だ。

論文によれば、すでに公開鍵がブロックチェーン上に露出しているビットコインは約690万BTC。全供給量の約3分の1にあたる。このうち約170万BTCは、サトシ・ナカモトの保有分を含むネットワーク初期のコインだ。アドレスの再利用によって鍵が露出した分も含まれている。

さらに皮肉なのは、2021年に導入されたTaprootアップグレードの存在だ。効率性とプライバシーの向上を謳ったTaprootは、公開鍵をデフォルトでブロックチェーン上に表示する仕様を採用した。当時は合理的だった設計判断が、量子時代には攻撃対象の拡大を意味する。

「良かれと思って開けた窓」が、いまや侵入経路になろうとしている。

イーサリアムはさらに深刻な構造的脆弱性を抱える

ビットコインの問題が深刻なら、イーサリアムの状況はさらに厄介だ。

イーサリアムのアカウントモデルでは、一度でも取引を送信すると公開鍵がブロックチェーン上に永久に記録される。ビットコインの「送金時の一瞬」とは異なり、攻撃者は時間の制約なく秘密鍵の導出を試みることができる。論文はこれを「構造的にアットレスト攻撃を受けやすい」と表現した。

Googleの推計では、公開鍵が露出しているイーサリアムの上位1,000アカウントが保有する約2,050万ETHは、量子コンピュータを使えば9日未満で解読可能だ。現在のETH価格（約2,100ドル）で換算すると、約430億ドル（約6兆8,000億円）に相当する。

Googleの推計では、公開鍵が露出しているイーサリアムの上位1,000アカウントが保有する約2,050万ETHは、量子コンピュータを使えば9日未満で解読可能だ。現在のETH価格（約2,100ドル）で換算すると、約430億ドル（約6兆9,000億円）に相当する。

Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly

だがリスクはウォレットだけにとどまらない。論文は、イーサリアム上のステーブルコインやトークン化資産の管理鍵にも同じ脆弱性があると指摘する。その規模は約2,000億ドル（約32兆円）。さらにプルーフ・オブ・ステークの合意レイヤーを支える約3,700万ステーキングETHも、同じ署名方式に依存している。

Ethereum財団は動き始めた

この論文の共著者の一人が、Ethereum財団の研究者ジャスティン・ドレイクであることは偶然ではない。ドレイクは論文公開と同日、Ethereum財団内に新たなポスト量子（PQ）チームを発足させたことを発表した。

ドレイクはXへの投稿で「2032年までに量子コンピュータが楕円曲線の秘密鍵を解読する確率は少なくとも10%ある」と述べた。最適化された量子回路が「わずか1億トフォリゲート」で、これは「驚くほど浅い」とも指摘。さらに「まだ簡単な最適化の余地が残されている。AIによる最適化はまだ試みられてすらいない」という一言が、この問題の底知れなさを物語る。

同日発表のOratomic論文がさらにハードルを下げた

Googleの論文だけでも十分な衝撃だが、同日に発表されたもう一つの論文がさらに状況を複雑にしている。

CaltechとスタートアップOratomicの研究チームは、Googleの量子回路を中性原子量子コンピュータ上で実行した場合、わずか約1万物理qubitで暗号解読が可能になると試算した。高速版でも約2万6,000 qubitで、解読にかかる時間は約10日。Googleの50万 qubitからさらに50分の1という桁違いの圧縮だ。

2012年に約10億 qubitと推定されていた暗号解読の必要資源は、2026年に約1万 qubitまで縮小した。14年間で5桁の改善。アルゴリズムの進化がハードウェアの進化を待たずに、脅威の到来を早めている。

ただし冷静な留意点もある。Oratomicの著者9人全員が同社の株主であり、うち6人は従業員だ。科学的成果とビジネス的利害が重なっている点は割り引いて見る必要がある。また、彼らが前提とするqLDPC符号はまだ大規模での実証がされていない。ドレイク自身も「Oratomicの結果は塩をひとつまみ加えて見るべきだ」と述べている。

ゼロ知識証明という「新しい責任ある開示」

Googleがこの論文で採用した情報公開の手法も注目に値する。

通常、セキュリティ脆弱性の研究では「完全開示」と「非開示」の間で議論がある。Googleは第三の道を選んだ。量子回路そのものを公開せず、その正しさをゼロ知識証明（ZKP）で検証可能にしたのだ。つまり「この計算が正しいこと」は誰でも確認できるが、「どうやって計算したか」は分からない。

攻撃手法の詳細を隠しつつ、研究の信頼性を担保する。暗号通貨という、パニックが資産価値に直結する領域では、この配慮は本質的だ。根拠のない恐怖（FUD）による市場攪乱もまた「攻撃」になりうるからだ。

Googleは米国政府と事前に協議を行ったうえで、この公開手法を採用したと明らかにしている。

対策の時間はあるのか

Googleは2029年を自社の耐量子暗号（PQC）移行期限に設定している。国際ガイドラインでは2035年が目安だ。だが、暗号通貨の世界はそこまで悠長にしていられない。

ビットコインでは耐量子署名を導入するBIP-360が2026年2月にBIPリポジトリに統合されたが、これはTaprootの鍵露出を防ぐだけで、完全な暗号方式の移行には至っていない。イーサリアムは組織的なリーダーシップで移行を加速できる可能性があるものの、ビットコインの完全分散型ガバナンスではプロトコル変更に広範な合意が必要であり、時間がかかる。

そして最も厄介な問題が、「動かせないコイン」の存在だ。秘密鍵が失われたウォレット、サトシ・ナカモトの推定110万BTCを含む初期のP2PK出力。これらは耐量子アドレスに自発的に移行することができない。論文はこうした資産について、海事法の「サルベージ」（救助）の概念を援用した枠組みを提案している。量子コンピュータで「回収」されたコインの扱いをどうするか。技術の問題が、いつの間にかガバナンスと法の問題になっている。

正直なところ、量子コンピュータが明日にでも暗号通貨を破壊するわけではない。現在最先端の量子プロセッサは数千qubit規模であり、50万 qubitにはまだ大きな隔たりがある。だが「いつか来る」と言われていたその日の輪郭が、はっきりと見え始めた。準備を始めるのに「早すぎる」という時期は、もう過ぎたのかもしれない。

参照元

• Google Research - Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly