マイケル・セイラー、MicroStrategyの共同創設者兼CEOは、12月16日に大胆な見解を示した:量子コンピュータはビットコインを破壊するのではなく、むしろ強化するだろう。彼の主張は魅力的だ。ポスト量子署名への移行、危険なコインの凍結、安全性の向上、供給の減少、そして結果としてより強固なネットワークだ。しかし、技術的な現実やオンチェーンの状況を分析すると、そのイメージははるかに複雑になる。実際には、既に170万BTC以上が直接的な危険にさらされており、移行の成功も確実ではない。## 量子とは何か、なぜビットコインにとって脅威なのか?セイラーの懸念を検討する前に、まず量子の脅威が何であるかを理解する必要がある。量子コンピュータ、または量子マシンと呼ばれるこれらの装置は、量子力学の原理—重ね合わせと絡み合い—を利用して情報を処理し、従来のコンピュータとは根本的に異なる方法で計算を行う。これらの量子力学的な力は、すべての計算を高速化するわけではなく、特定のタイプの問題—特に素因数分解や暗号化ハッシュ関数の逆算—に対して劇的な高速化をもたらす。ビットコインは、SHA-256に基づくプルーフ・オブ・ワークと、ECDSAおよびSchnorrのデジタル署名によってコインを保護している。シェアアルゴリズム(Shorのアルゴリズム)は、公開鍵暗号を破ることができる量子アルゴリズムであり、これが後者にとって直接的な脅威となる。誤り耐性のある量子コンピュータが約2000〜4000の論理量子ビットに到達すると、公開鍵から秘密鍵を導き出せるようになる。現在の装置はこの閾値よりはるかに低いため、現実的な脅威はすぐには訪れないと考えられている。NISTや業界の専門家の見積もりでは、その時間枠は少なくとも10年以上先とされている。## セーフティウィンドウは存在するが、余裕は狭いセイラーの指摘は正しい。理論的には準備の時間はある。NISTはすでにビットコインに必要な耐量子性の署名標準を承認している。NISTは、ML-DSA(別名Dilithium)とSLH-DSA(SPHINCS+)の2つの耐量子署名標準をFIPS 204と205として公開し、承認済みだ。3つ目の候補であるFN-DSA(Falcon)はFIPS 206の承認待ちだ。これらのスキームは、新しい出力タイプや従来の署名とポスト量子署名をハイブリッド化した署名方式としてビットコインに統合可能だ。現在、ビットコインの技術コミュニティは、ポスト量子署名の集約やTaprootを用いた構造の提案を追跡している。性能試験では、SLH-DSAは現行のビットコインネットワークと同程度の負荷で動作可能であることが示されている。ただし、重要な点は、移行には隠れたコストが伴うことだ。セイラーはこれを見落としている。研究によると、現実的な移行は大きな妥協を伴う可能性がある。具体的には、ポスト量子署名は従来のものよりはるかに大きいため、ブロック容量は約半分に減少する可能性がある。検証コストも増加し、取引手数料も上昇する。これは痛みを伴うアップデートであり、安全性と容量のトレードオフだ。## 実際の脅威:既に170万BTCが攻撃者の目にここに、セイラーが見落としている核心的な問題がある。彼の言う「アクティブなコインは移行し、失われたコインは凍結されたまま」という表現は、ブロックチェーンの現実を極端に単純化している。量子攻撃の脆弱性は、アドレスの種類と、公開鍵がすでにオンチェーン上で公開されているかどうかに完全に依存している。初期のpay-to-public-key(P2PK)アドレスに保管されたコインは、公開鍵を最初から直接公開しているため、危険にさらされている。標準的なP2PKHやSegWitのP2WPKHアドレスは、ハッシュ化された公開鍵を隠しているが、コインが一度出金されると公開鍵が明らかになり、攻撃の対象となる。新しいTaprootのP2TRアドレスは、公開鍵を最初から埋め込むため、これらのUTXOは出金されるまで危険にさらされていないが、出金後は公開鍵が露出し、攻撃対象となる。オンチェーンのデータ分析と、Deloitteの調査や最近のビットコインに関する研究は、恐るべき現実を示している。全ビットコインの約25%は、すでに公開鍵が露出した状態のUTXOに存在している。推定では、約170万BTCはSatoshi時代のもので、公開鍵が露出したP2PKの出金に由来している。さらに、数十万のコインはTaprootの公開鍵が露出した状態の新しい出金に由来している。これらのコインは「凍結」されているわけではなく、公開鍵が露出しているため、適切な量子コンピュータさえあれば、すぐにでも攻撃可能な状態にある。一部の「失われた」コインは、実際に所有者不明のものもあり、攻撃のターゲットになり得る。しかし、他の多くは放置されたウォレットや信託機関、あるいは忘れ去られたアドレスにあるコインだ。最初の量子コンピュータが攻撃可能な規模に達したとき、これらの所有者はすべてのコインを失うリスクがある。早期の移行がなければならない。これは仮説ではなく、数学とオンチェーンの現実だ。## 3つのシナリオ:供給は本当に減少するのか?セイラーは、「安全性は向上し、供給は減少する」と述べているが、これは単なる推測に過ぎない。量子攻撃の世界における供給の動きは自動的ではなく、少なくとも3つの異なるシナリオが存在し、それぞれが価格に異なる影響をもたらす。**シナリオ1 — 「放棄による縮小」:** 脆弱なアドレスのコインは、所有者が一切更新しない場合、事実上「失われた」または意図的にブラックリスト入りとなる。この場合、実際の流通供給は減少する可能性がある。これは強気のシナリオだが、ネットワーク全体の政治的合意—特にビットコインのような分散システムでは非常に難しい。**シナリオ2 — 「盗難による歪み」:** 攻撃者が量子コンピュータを使って脆弱なアドレスを攻撃し、資金を奪い取る。これらのコインは市場に流出し、供給は減少しない。むしろ、乱雑な再分配が起きる。市場は大量の盗難や不正流通を見て、ネガティブな反応を示す可能性が高い。**シナリオ3 — 「パニックとフォーク」:** 量子の脅威が現実味を帯びる前から、ネットワーク内でパニックや分裂が起きる。例えば、既存のアドレスの署名を無効化しようとする動きや、事前のフォークによる「リセット」試みだ。結果は予測不能だ。これらのシナリオは、いずれも純粋な供給の減少を保証するものではなく、政治的・技術的・経済的な複雑さを伴う。実際の供給は、盗難や売却、内部対立によって歪められる可能性もある。## 管理、政策、時間:暗号学以上の課題最も重要なポイントは、ビットコインの管理と政策の問題だ。ビットコインには中央集権的な権威はなく、ポスト量子移行を強制できる仕組みもない。ソフトフォークには、開発者、マイナー、取引所、大口保有者の圧倒的な合意が必要だ。これらの関係者が協調し、十分な時間をかけて移行を進める必要がある。A16zの最新分析は、暗号学以上に「協調」と「時間」が大きなリスクであることを示している。ビットコインは15年以上にわたり、合意とインパクト、論争を経て運用されてきた。ポスト量子移行は、技術的な合意だけでなく、経済的なインセンティブや地政学的な抵抗も絡む、より複雑なプロセスになるだろう。ネットワークが遅れれば、一部のコインは盗まれるかもしれない。逆に、急ぎすぎると、古いアドレスの特別なルールを巡る争いに巻き込まれる可能性もある。さらに、あまり語られないリスクもある。メムプール内での「サインして盗む」攻撃だ。トランザクションが公開鍵のハッシュを含むアドレスから出て、公開鍵が露出した瞬間に、攻撃者は素早く秘密鍵を奪い、競合する取引を上書きしようとする。これは完全な量子耐性を持つコンピュータを必要とせず、単に高速な観察と反応能力だけで可能だ。## 数学とデータが示す現実数学的には、ビットコインは自動的に崩壊しない。理論上、準備期間は少なくとも10年以上あり、その間に慎重な移行が可能だ。NISTやビットコインの技術コミュニティはすでに解決策に取り組んでいる。SHA-256に基づくプルーフ・オブ・ワークは、Groverのアルゴリズムによる平方根の高速化により、相対的に耐性があると考えられる。ただし、パラメータの調整で対応可能だ。一方、オンチェーンのデータは明確に示している。全ビットコインの約25%は、すでに公開鍵が露出した状態のUTXOに存在している。170万BTCはSatoshi時代のもので、公開鍵が露出している。これらのコインは「凍結」されているわけではなく、待ち構える攻撃者を待っている状態だ。セイラーの楽観は、管理と協調が適切に行われ、所有者が早期に移行し、攻撃者がその遅延を利用できなかった場合にのみ成立する。これは保証ではなく、政治的・技術的な調整の結果次第だ。数学的には可能だが、実現には多くの人々の協力とタイミングが必要だ。ビットコインは、量子の時代に向けて「強く」なることができるのか?それは、開発者や大口保有者が早期に行動し、混乱や盗難を避けて適切に移行できるかにかかっている。セイラーの楽観は、あくまで「理論上の可能性」に過ぎず、実際の管理と協調の難しさを見落としている。
ビットコインにとっての量子脅威:マイケル・セイラーの楽観主義の裏側で本当に起きていること
マイケル・セイラー、MicroStrategyの共同創設者兼CEOは、12月16日に大胆な見解を示した:量子コンピュータはビットコインを破壊するのではなく、むしろ強化するだろう。彼の主張は魅力的だ。ポスト量子署名への移行、危険なコインの凍結、安全性の向上、供給の減少、そして結果としてより強固なネットワークだ。しかし、技術的な現実やオンチェーンの状況を分析すると、そのイメージははるかに複雑になる。実際には、既に170万BTC以上が直接的な危険にさらされており、移行の成功も確実ではない。
量子とは何か、なぜビットコインにとって脅威なのか?
セイラーの懸念を検討する前に、まず量子の脅威が何であるかを理解する必要がある。量子コンピュータ、または量子マシンと呼ばれるこれらの装置は、量子力学の原理—重ね合わせと絡み合い—を利用して情報を処理し、従来のコンピュータとは根本的に異なる方法で計算を行う。これらの量子力学的な力は、すべての計算を高速化するわけではなく、特定のタイプの問題—特に素因数分解や暗号化ハッシュ関数の逆算—に対して劇的な高速化をもたらす。
ビットコインは、SHA-256に基づくプルーフ・オブ・ワークと、ECDSAおよびSchnorrのデジタル署名によってコインを保護している。シェアアルゴリズム(Shorのアルゴリズム)は、公開鍵暗号を破ることができる量子アルゴリズムであり、これが後者にとって直接的な脅威となる。誤り耐性のある量子コンピュータが約2000〜4000の論理量子ビットに到達すると、公開鍵から秘密鍵を導き出せるようになる。現在の装置はこの閾値よりはるかに低いため、現実的な脅威はすぐには訪れないと考えられている。NISTや業界の専門家の見積もりでは、その時間枠は少なくとも10年以上先とされている。
セーフティウィンドウは存在するが、余裕は狭い
セイラーの指摘は正しい。理論的には準備の時間はある。NISTはすでにビットコインに必要な耐量子性の署名標準を承認している。NISTは、ML-DSA(別名Dilithium)とSLH-DSA(SPHINCS+)の2つの耐量子署名標準をFIPS 204と205として公開し、承認済みだ。3つ目の候補であるFN-DSA(Falcon)はFIPS 206の承認待ちだ。これらのスキームは、新しい出力タイプや従来の署名とポスト量子署名をハイブリッド化した署名方式としてビットコインに統合可能だ。
現在、ビットコインの技術コミュニティは、ポスト量子署名の集約やTaprootを用いた構造の提案を追跡している。性能試験では、SLH-DSAは現行のビットコインネットワークと同程度の負荷で動作可能であることが示されている。ただし、重要な点は、移行には隠れたコストが伴うことだ。セイラーはこれを見落としている。研究によると、現実的な移行は大きな妥協を伴う可能性がある。具体的には、ポスト量子署名は従来のものよりはるかに大きいため、ブロック容量は約半分に減少する可能性がある。検証コストも増加し、取引手数料も上昇する。これは痛みを伴うアップデートであり、安全性と容量のトレードオフだ。
実際の脅威:既に170万BTCが攻撃者の目に
ここに、セイラーが見落としている核心的な問題がある。彼の言う「アクティブなコインは移行し、失われたコインは凍結されたまま」という表現は、ブロックチェーンの現実を極端に単純化している。量子攻撃の脆弱性は、アドレスの種類と、公開鍵がすでにオンチェーン上で公開されているかどうかに完全に依存している。
初期のpay-to-public-key(P2PK)アドレスに保管されたコインは、公開鍵を最初から直接公開しているため、危険にさらされている。標準的なP2PKHやSegWitのP2WPKHアドレスは、ハッシュ化された公開鍵を隠しているが、コインが一度出金されると公開鍵が明らかになり、攻撃の対象となる。新しいTaprootのP2TRアドレスは、公開鍵を最初から埋め込むため、これらのUTXOは出金されるまで危険にさらされていないが、出金後は公開鍵が露出し、攻撃対象となる。
オンチェーンのデータ分析と、Deloitteの調査や最近のビットコインに関する研究は、恐るべき現実を示している。全ビットコインの約25%は、すでに公開鍵が露出した状態のUTXOに存在している。推定では、約170万BTCはSatoshi時代のもので、公開鍵が露出したP2PKの出金に由来している。さらに、数十万のコインはTaprootの公開鍵が露出した状態の新しい出金に由来している。これらのコインは「凍結」されているわけではなく、公開鍵が露出しているため、適切な量子コンピュータさえあれば、すぐにでも攻撃可能な状態にある。
一部の「失われた」コインは、実際に所有者不明のものもあり、攻撃のターゲットになり得る。しかし、他の多くは放置されたウォレットや信託機関、あるいは忘れ去られたアドレスにあるコインだ。最初の量子コンピュータが攻撃可能な規模に達したとき、これらの所有者はすべてのコインを失うリスクがある。早期の移行がなければならない。これは仮説ではなく、数学とオンチェーンの現実だ。
3つのシナリオ:供給は本当に減少するのか?
セイラーは、「安全性は向上し、供給は減少する」と述べているが、これは単なる推測に過ぎない。量子攻撃の世界における供給の動きは自動的ではなく、少なくとも3つの異なるシナリオが存在し、それぞれが価格に異なる影響をもたらす。
シナリオ1 — 「放棄による縮小」: 脆弱なアドレスのコインは、所有者が一切更新しない場合、事実上「失われた」または意図的にブラックリスト入りとなる。この場合、実際の流通供給は減少する可能性がある。これは強気のシナリオだが、ネットワーク全体の政治的合意—特にビットコインのような分散システムでは非常に難しい。
シナリオ2 — 「盗難による歪み」: 攻撃者が量子コンピュータを使って脆弱なアドレスを攻撃し、資金を奪い取る。これらのコインは市場に流出し、供給は減少しない。むしろ、乱雑な再分配が起きる。市場は大量の盗難や不正流通を見て、ネガティブな反応を示す可能性が高い。
シナリオ3 — 「パニックとフォーク」: 量子の脅威が現実味を帯びる前から、ネットワーク内でパニックや分裂が起きる。例えば、既存のアドレスの署名を無効化しようとする動きや、事前のフォークによる「リセット」試みだ。結果は予測不能だ。
これらのシナリオは、いずれも純粋な供給の減少を保証するものではなく、政治的・技術的・経済的な複雑さを伴う。実際の供給は、盗難や売却、内部対立によって歪められる可能性もある。
管理、政策、時間:暗号学以上の課題
最も重要なポイントは、ビットコインの管理と政策の問題だ。ビットコインには中央集権的な権威はなく、ポスト量子移行を強制できる仕組みもない。ソフトフォークには、開発者、マイナー、取引所、大口保有者の圧倒的な合意が必要だ。これらの関係者が協調し、十分な時間をかけて移行を進める必要がある。
A16zの最新分析は、暗号学以上に「協調」と「時間」が大きなリスクであることを示している。ビットコインは15年以上にわたり、合意とインパクト、論争を経て運用されてきた。ポスト量子移行は、技術的な合意だけでなく、経済的なインセンティブや地政学的な抵抗も絡む、より複雑なプロセスになるだろう。ネットワークが遅れれば、一部のコインは盗まれるかもしれない。逆に、急ぎすぎると、古いアドレスの特別なルールを巡る争いに巻き込まれる可能性もある。
さらに、あまり語られないリスクもある。メムプール内での「サインして盗む」攻撃だ。トランザクションが公開鍵のハッシュを含むアドレスから出て、公開鍵が露出した瞬間に、攻撃者は素早く秘密鍵を奪い、競合する取引を上書きしようとする。これは完全な量子耐性を持つコンピュータを必要とせず、単に高速な観察と反応能力だけで可能だ。
数学とデータが示す現実
数学的には、ビットコインは自動的に崩壊しない。理論上、準備期間は少なくとも10年以上あり、その間に慎重な移行が可能だ。NISTやビットコインの技術コミュニティはすでに解決策に取り組んでいる。SHA-256に基づくプルーフ・オブ・ワークは、Groverのアルゴリズムによる平方根の高速化により、相対的に耐性があると考えられる。ただし、パラメータの調整で対応可能だ。
一方、オンチェーンのデータは明確に示している。全ビットコインの約25%は、すでに公開鍵が露出した状態のUTXOに存在している。170万BTCはSatoshi時代のもので、公開鍵が露出している。これらのコインは「凍結」されているわけではなく、待ち構える攻撃者を待っている状態だ。
セイラーの楽観は、管理と協調が適切に行われ、所有者が早期に移行し、攻撃者がその遅延を利用できなかった場合にのみ成立する。これは保証ではなく、政治的・技術的な調整の結果次第だ。数学的には可能だが、実現には多くの人々の協力とタイミングが必要だ。
ビットコインは、量子の時代に向けて「強く」なることができるのか?それは、開発者や大口保有者が早期に行動し、混乱や盗難を避けて適切に移行できるかにかかっている。セイラーの楽観は、あくまで「理論上の可能性」に過ぎず、実際の管理と協調の難しさを見落としている。