ジャンカルロ・レッリとは？量子コンピュータによるビットコイン暗号解読の進展

2026年4月24日、イタリアの独立系研究者ジャンカルロ・レッリ氏が、公開クラウド上の量子コンピュータを用いて15ビットの楕円曲線鍵を解読し、Project Elevenの「1 BTC Q-Day賞」を獲得しました。この成果は、将来的にビットコインやイーサリアムをはじめとした楕円曲線暗号ベースのブロックチェーンに脅威を与えうる攻撃手法の、過去最大規模の実証例となりました。7ヶ月前の記録は6ビット鍵であり、レッリ氏の成果は複雑さで512倍の進展です。

現実のビットコインウォレットを守る256ビットとの間には依然大きな隔たりがありますが、Googleによる2026年3月の研究（物理キュービット50万未満での完全解読可能性を示唆）など、進展のスピードは「もし」から「いつ」へと議論を移し、開発コミュニティに具体的な移行計画を促しています。

ジャンカルロ・レッリ氏の実践内容

レッリ氏はショアのアルゴリズムの変種を用い、公的クラウドで約70キュービットの量子デバイスを利用し、32,767通りの探索空間から公開鍵に対応する秘密鍵の導出に成功しました。国家研究所や独自チップ、大規模資金なしで、専門知識があれば誰でもレンタル可能な公開ハードウェアを使っています。

ターゲットとなったのは ビットコインの公開鍵と秘密鍵の基盤となる楕円曲線離散対数問題（ECDLP）です。送金時、ウォレットは秘密鍵で署名し、これが公開鍵と対応しています。本来、この秘密鍵を公開鍵から逆算することは極めて困難とされてきましたが、レッリ氏は小規模ながら量子コンピュータでこれが可能であることを実証しました。

例えるなら、従来型のコンピュータは鍵番号をひとつずつ試す「総当たり」ですが、量子コンピュータは重ね合わせにより多数の組み合わせを同時に試せるため、指数関数的に高速な解読が可能です。15ビットでは32,767通りですが、256ビットでは観測可能な宇宙の原子数より多い組み合わせになります。

レッリ氏はDecryptの取材に対し「自分自身への挑戦と、テクノロジーへの純粋な情熱から参加した」と述べています。個人がクラウド量子ハードウェアのみで達成できた点も、技術的成果と同じく意義深いものです。

Project ElevenとQ-Day賞とは

Project Elevenは、ビットコインや暗号資産業界全体のポスト量子セキュリティ基盤を構築する企業で、2025年中頃に600万ドルを調達しています。

Q-Day賞は、実際の量子ハードウェア上で最大の楕円曲線鍵を解読した研究者に1BTCを授与するという公開懸賞です。Q-Day自体は、量子コンピュータがビットコインの暗号を突破可能になる瞬間を指します。Project Elevenは、この境界が近いかを公開の報奨で測定し、研究の透明化を図っています。

レッリ氏以前の記録は、2025年9月にスティーブ・ティッペコニック氏がIBMの133キュービット量子コンピュータで6ビット鍵を解読したものでしたが、15ビットでの記録は7ヶ月で512倍の規模拡大です。

また、Project Elevenはポスト量子暗号レジストリ「Yellowpages」を立ち上げ、ユーザーがハイブリッド鍵ペアを生成し既存のBTCアドレスと紐付け可能にすることで、移行経路を提供しています。

15ビットと256ビットの違い、そして重要な傾向

ビットコインは256ビット楕円曲線暗号を採用しており、15ビット解読は現実のウォレット脅威には程遠いのが現状です。256ビットの探索空間は77桁に及び、1ビット増すごとに難易度は2倍となります。

しかし進展速度が注目点です。2025年9月から2026年4月で6ビットから15ビットに進展し、物理的な上限よりもエンジニアリング課題に移行しています。現在の量子コンピュータは最大1,100キュービット程度ですが、Google Quantum AIによると256ビット解読には50万キュービットが必要とされ、従来見積もりより20分の1に。さらにCaltechとOratomicの論文では、中性原子アーキテクチャを用いれば1万キュービットまで減少する可能性が指摘され、全体のタイムラインが前倒しされつつあります。Quantum Insiderも3ヶ月連続で主要論文が脅威の時間軸を書き換えたと報告しています。

実際にリスクのあるビットコインはどれか

全てのビットコインウォレットが同じ脆弱性を持つわけではなく、公開鍵がブロックチェーン上で公開済みかどうかが分かれ目です。約690万BTCが、歴史的または送金により公開鍵が露出しており、現在価格換算で約6,500億ドル分が理論上リスクありとされます。

最新のPay-to-Taproot (P2TR)やPay-to-Witness-Public-Key-Hash (P2WPKH)アドレスでは、送金時まで公開鍵が表示されません。しかし一度でも送金すれば公開鍵は露出します。Googleの論文は、量子攻撃が未確定取引を約9分で傍受可能とし、41％の確率でブロック承認より先に奪取され得ると指摘しています。

保有者への実務的示唆はシンプルです。過去に送金経験のあるアドレスでBTCを保有している場合、公開鍵がオンチェーンで可視化されており、将来的な量子攻撃の理論上リスクを持ちます。一方、一度も送金していないアドレスではハッシュ化された公開鍵のみが見え、追加の保護層となります。

この脆弱性はビットコインだけでなく、ECDSAや類似楕円曲線署名方式を利用する全てのブロックチェーン（イーサリアム、ソラナ、主要Layer-1等）にも共通します。イーサリアムはポスト量子化ロードマップを公表し、リップルも移行計画を発表、StarkNetなどのゼロ知識証明系は既に量子耐性を備えています。ただしビットコインは価値規模と保守的なアップグレード文化から、最難関の移行課題を抱えています。

BIP-360とビットコインのポスト量子移行プラン

ビットコイン開発者らはQ-Day到来を待たず、2026年2月導入のBIP-360でPay-to-Merkle-Root (P2MR)という新しい出力種別を提案しました。P2MRでは送金時でも公開鍵が公開されず、量子攻撃の対象が原理的になくなります。

BTQ Technologiesは2026年3月にテストネットでBIP-360を実装し、SegWit v2出力やウォレットサポートも実現しています。

伴う提案BIP-361では、BTC保有者に量子耐性アドレスへの段階的移行タイムラインを設け、移行しなかったコインは最終的に凍結するとしています。これは、サトシ保有分含む長期間動いていないウォレットは自発的移行が困難であり、ネットワークが「盗難か凍結か」の選択を迫られる点で議論を呼んでいます。コイン凍結は「キープライベート・コイン」原則に反し、一方で量子脆弱コインを可動のまま残すと強力な量子コンピュータ登場時に一夜で全額失う恐れがあり、合意形成は難航しています。レッリ氏の成果で、数年余裕があるとの楽観論は再検討を迫られています。

よくある質問

現時点で量子コンピュータはビットコインを解読できますか？

いいえ。量子ハードウェア上で解読された最大鍵は15ビットで、ビットコインは256ビットを使用しています。現行機の最大規模は約1,100キュービット、完全解読には最低50万キュービットが必要とされています。脅威は現実的ですが、多くの専門家は実用的攻撃まで10年程度かかると見ています。

ジャンカルロ・レッリ氏とは？

レッリ氏は2026年4月24日にクラウド量子コンピュータで15ビット楕円曲線鍵を解読し、Project Elevenの「1 BTC Q-Day賞」を獲得した独立系イタリア人研究者です。1年間かけて問題に取り組み、誰でも借りられるクラウド量子ハードウェアを利用しました。

BIP-360とは？ビットコインの量子攻撃対策は？

BIP-360はPay-to-Merkle-Root (P2MR)アドレスを導入し、送金時も公開鍵を公開しません。これにより新規トランザクションの量子攻撃面を根本的に排除できます。2026年3月時点でテストネット上で稼働中です。

量子コンピュータによる脆弱なビットコインはいくら？

約690万BTCが公開鍵をオンチェーンで公開しており、強力な量子コンピュータ登場時には理論上リスクを持ちます。一度も送金されていないアドレスのコインは、公開鍵ハッシュのみが可視化されるためより安全です。

まとめ

レッリ氏の15ビット解読は概念実証であり、危機ではありません。ただし、わずか7ヶ月で6ビット→15ビットへ512倍進展し、Googleの研究で完全解読に必要な資源見積が20分の1に短縮された事実からも、量子耐性を「未来の問題」とする余裕はなくなりつつあります。BIP-360は既にテストネットで実装されており、6.9百万BTCの公開鍵露出コインが最も切迫した移行期限となっています。古い形式や送金済みアドレスでBTCを保有している場合、BIP-360/361の動向監視は不可欠です。研究者の進歩は予想以上に速く、対策もそれ以上のスピードが求められます。

本記事は情報提供のみを目的としており、投資助言ではありません。暗号資産取引にはリスクが伴います。必ずご自身で調査の上、ご判断ください。