量子計算機がビットコイン暗号を破る日、想定より早く来る
暗号の安全神話が、静かに崩れはじめている。かつて「数百万量子ビット必要」とされた現代暗号の解読が、50万以下で届く射程に入った。Qデーは遠い未来ではなく、移行計画の納期になった。
暗号の安全神話が、静かに崩れはじめている。かつて「数百万量子ビット必要」とされた現代暗号の解読が、50万以下で届く射程に入った。Qデーは遠い未来ではなく、移行計画の納期になった。
「1万年かけても解けない」前提が、2026年に崩れた
現代のオンライン暗号は長らく、ほぼ不可侵とされてきた。世界中のスーパーコンピュータを束ねて1万年回しても解けないと語られてきたのが、ついこの間までの常識だ。その常識が、2026年に入ってから静かに、しかし確実に剥がれ落ちている。
震源地はGoogleだ。同社のQuantum AIチームは2026年3月30日、ビットコインやイーサリアムを守る楕円曲線暗号(ECC)を、従来想定より約20分の1の量子資源で破れるとする論文を公表した。数字を見れば事の重さが伝わる。2023年時点の代表的な見積もりは物理量子ビット約900万個だったが、今回の推定は50万個未満。しかも攻撃は「数分」で完了すると書かれている。
量子コンピュータによる暗号解読は、これまで「遠くで鳴っている雷鳴」のように扱われてきた。音は聞こえるが、雨はまだ降らない。その距離感が、3月を境に変わった。
量子ハードの軍拡、算法の最適化、二正面で詰め寄られる暗号
追い詰めている力は一つではない。ハードウェアと理論、二つの軸で同時に前進している。これが今回の流れの本質だ。
ハード側では、IBMが昨年末に120量子ビットのチップを公開し、特定のタスクで「量子優位性」を示そうとしている。Googleも耐量子暗号(ポスト量子暗号、PQC)への移行を早め、社内の切り替え目標を2029年に設定した。光量子ビットを使うPsiQuantumや、中性原子方式で実験的に数千量子ビットの制御を示したグループなど、主役は一社ではない。
耐量子暗号への移行は、米国国立標準技術研究所(NIST)が2035年までの完了を、オーストラリア信号総局が2030年までの移行開始を、それぞれ明確な期限として提示している。
一方の理論側は、表に出にくい領域で、もっと速く進んでいる。Googleの今回の論文は、ピーター・ショアが1994年に発表した因数分解アルゴリズムの血筋を引く手法を、極限まで最適化したものだ。論理量子ビット1,200個未満で攻撃回路を構成するという数字は、理論屋の世界では「桁が変わった」と言っていい水準になる。Toffoliゲート数は約9,000万まで削られた。
カリフォルニア工科大学・バークレー・Atom Computing(Oratomic)の共同研究も、3月末に現れた。中性原子量子コンピュータで、1万〜2万個の原子量子ビットでショアのアルゴリズムを走らせる設計案を提示している。論文では約2万6,000量子ビットの構成で、P-256楕円曲線の離散対数問題を数日で解く見積もりを示している。ビットコインで使われるsecp256k1は同じ256ビット楕円曲線のファミリであり、規模感としては近いラインに載る。同じ論文は、RSA-2048鍵の解読にはより多くの時間と資源が必要だと注記している。
ビットコインの「公開鍵が見える瞬間」という弱点
今回の話が暗号通貨業界で特に騒がれているのは、ECCの破綻がそのまま資金の窃取につながる構造があるからだ。
ビットコインのアドレスは通常、公開鍵そのものではなく、公開鍵をハッシュ化したものになっている。つまり量子計算機があっても、普段は手が出せない。ところが送金のトランザクションを発行した瞬間、公開鍵がチェーン上に露出する。この数分から数十分の窓を量子コンピュータが秘密鍵の復元に使えるなら、送金は確定前に書き換えられる可能性が出てくる。
Googleの論文は、すでに約690万BTCの公開鍵が露出状態にあり、うち170万BTC相当は初期のサトシ時代由来のものだと指摘している。
過去のトランザクションで一度でも公開鍵を露出した静眠ウォレットは、持ち主が鍵を更新しない限り、文字通り無防備なまま放置されることになる。Qデーはウォレット盗難から始まる——そう読む研究者は増えている。
ここで踏み止まるべきなのは、現時点では誰もその攻撃を実行できないという事実だ。50万量子ビットの誤り訂正付きマシンは、まだ存在しない。ただ、あと何年猶予があるか、という問いの答えだけが、着実に短くなっている。
守る側の準備、進んではいるが十分ではない
希望がないわけではない。NISTは既に複数のポスト量子暗号アルゴリズムを標準化しており、これらは量子攻撃への耐性を持つと考えられている。
実装も始まっている。Google ChromeとCloudflareはすでに一部のプロトコルでハイブリッド方式の耐量子保護を導入済みで、TLS接続の段階から静かに移行が進んでいる。個々のユーザーの目には見えないが、通信の下層ではすでに新しい暗号が流れはじめている。
問題は、移行が必要なシステムの総量と複雑さだ。ブロックチェーンのように分散合意で動くシステムは、スイッチ一つでは切り替えられない。コンセンサスの形成、後方互換性の確保、利用者の同意、開発者の実装工数。一つ一つは地味だが、どれも省略できない工程が積み重なっている。
Qデーは「いつか」ではなく「納期」になった
量子計算機が現代暗号を破る日は、かつて未来の寓話だった。いまは移行計画書の締切になりつつある。ハードの進歩だけを追っていては、脅威の全体像は見えない。算法の最適化は、ハードの世代交代より速く起こりうる。
Googleの論文にあった1行が、この分野の気配をよく表している。
本格的な暗号解読量子コンピュータ(CRQC)の存在は、論文公表という形ではなく、ブロックチェーン上の異常として先に観測される可能性がある——と論文は記している。
発表より先に、金が動く。守る側にとって、これほど不都合な想像はない。
技術の進歩は、止められない。止められないが、間に合わせることはできる。あと数年のどこかにあるはずの境界線を、防御側がどれだけ早く越えられるか。勝負は、もうそこにある。
参照元
- Google Research Blog - Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly
- arXiv:2603.28627 - Shor's algorithm is possible with as few as 10,000 reconfigurable atomic qubits
関連記事
- 暗号学者が5000ドル賭け、量子コンピュータの脅威は本当に来るのか
- Google量子AIが突きつけた暗号通貨の「終わりの始まり」
- Mythos配布から外された欧州、AI主権の空白が露呈する
- GmailのGemini統合、Googleが「メールでAIを訓練しない」と改めて表明
- AI検索でブランドを売り込む新SEO産業、ゴールドラッシュの内幕
- OpenAI・Anthropic・Googleが共闘、中国への「蒸留」流出で情報共有
- Google、耐量子暗号の全面移行を2029年に前倒し
- Googleが「戻るボタン乗っ取り」を規約違反に——6月15日が期限
- アルトマン宅襲撃の20歳起訴、3部構成の反AI文書と拳銃が浮上
- Roblox、5〜15歳を年齢別アカウントに隔離する大改革
