2026年4月、ある研究者が実際の量子コンピューター上で15ビットの楕円曲線鍵を破り、「Project Eleven」のQ-Day賞と1BTCを獲得しました。これは、すべてのビットコインウォレットを守る暗号技術に対する攻撃手法として最大規模のデモンストレーションでした。鍵自体は非常に小さく、現状の256ビットECDSAがすぐに破られる段階ではありませんが、技術進歩の方向性は明確です。約690万BTCが公開鍵が露出したアドレスに存在しており(サトシの約100万BTCも含むと推定)、量子ハードウェアの進展により「理論的脅威」と「実用的なタイムライン」のギャップは徐々に縮まっています。
ビットコイン開発者はこの傾向を数年前から注視しています。2026年2月11日に公開されビットコイン公式のBIPリポジトリへ統合されたBIP-360が、その回答です。これはTaproot(P2TR)とほぼ同様に動作する新しい出力タイプ「Pay-to-Merkle-Root(P2MR)」を提案し、量子コンピューターによる将来的な脅威となる唯一の要素を除去します。BTQ Technologiesは2026年3月、Bitcoin Quantum testnet v0.3.0で初の動作実装をリリースしました。
Taprootの量子コンピューター問題とは
BIP-360が解決する課題を理解するには、Taprootがどのようなリスクを持っているか把握する必要があります。
ビットコインで2021年11月にTaprootアップグレードが有効化された際、P2TR(Pay-to-Taproot)出力には2つの支払い方法が導入されました。1つ目はキーパス支払いで、単一の公開鍵がブロックチェーンに直接記録され、所有者は対応する秘密鍵を保持していることを証明します。2つ目はスクリプトパス支払いで、支払い条件がスクリプトのMerkleツリーに隠され、利用時に該当ブランチだけが公開されます。
キーパスは通常利用時に高速かつ安価でプライバシーも高いですが、公開鍵が平文でオンチェーンに記録されます。今日現在は、公開鍵から秘密鍵を逆算できるコンピューターは存在しませんが、十分に強力な量子コンピューターがShorのアルゴリズムを利用すれば、これが可能となります。Googleは2026年4月のホワイトペーパーで、256ビットECCへの完全攻撃には50万物理キュービット未満と見積もり、以前の数百万規模から大幅に下がりました。CaltechとOratomicによる別の論文では、中性原子アーキテクチャなら1万キュービットまで下がるとされます。
これらのマシンはまだ実現していませんが、見積もりは下がり続けており、公開鍵が露出したアドレスは減ることなく積み重なっています。全てのP2TRキーパス支払い、ビットコイン初期のPay-to-Public-Key(P2PK)出力、そしてトランザクションを送信したことで公開鍵が明らかになった全アドレスが、量子耐性が弱いコインのプールに存在し続けます。
P2MRが脆弱性を除去する仕組み
BIP-360の修正は、ビットコインのスクリプト構造をほとんど変えることなく脅威を和らげます。
P2TR出力は、キーを調整しつつスクリプトツリーのMerkleルートを含む公開鍵にコミットしています。P2MRはキーパス自体を完全に排除し、公開鍵を調整するのではなく、スクリプトツリーのMerkleルートのみを直接コミットします。公開鍵は、スクリプトブランチが実行されるまでオンチェーンに現れず、その際も該当ブランチ内だけで公開されます。
イメージとしては、Taprootは金庫の外に鍵が1つ掛かっており(便利だが見えている)、予備の鍵は封筒に入れて金庫の中にあります。P2MRはその外の鍵を完全になくし、すべての鍵を金庫内、必要なときのみ特定の封筒から取り出して公開するイメージです。
技術的にはSegWitバージョン2を利用し、P2MR独自のアドレスプレフィックス(日本語記事なし)を持ちます。メインネットP2MRアドレスはbech32mエンコーディング標準に従いbc1zで始まります(バージョン2はzに対応)。P2TRはbc1p(バージョン1)、レガシーSegWitはbc1q(バージョン0)です。新しいプレフィックスにより、P2MRアドレスは一目で識別できます。
テストネット実装の内容
BTQ Technologiesは2026年3月、BIP-360の実働実装を備えたBitcoin Quantum testnet v0.3.0をリリースしました。これは理論上の概念ではなく、実際にライブのテストネット上でP2MRトランザクションが作成・利用されています。
テストネット実装には、P2MR tapscriptコンテキストで有効な5種のDilithiumポスト量子署名オペコードが含まれています。Dilithium(現在NISTでML-DSAとして標準化)は格子ベースの署名方式で、既知のアルゴリズムでは量子コンピューターによる攻撃に耐性があります。現在のビットコインはECDSAおよびSchnorr署名に依存していますが、これらはShorのアルゴリズムに脆弱です。Dilithium署名は量子コンピューターでも困難な数学的問題(モジュール格子問題)を基礎としています。
また、P2MRコンセンサスバリデーション、Merkleルートコミットメント検証、コントロールブロック検証、量子耐性トランザクションの作成・利用まで可能なCLIウォレットツールも実装されています。開発者は本日から一連のフローをテスト可能です。
BIP-360の重要な設計ポイントは後方互換性です。P2MRは既存のP2TR tapleafやtapscriptコードを流用できるため、Taproot対応ウォレット、取引所、ライブラリは既存コードを多く再利用してP2MR対応が可能です。これにより、メインネットでの導入障壁が大幅に下がります。
690万量子脆弱BTCの意味
この数字は一見大きなリスクのように思えますが、正確な文脈が重要です。
Project Elevenの推計によれば、総供給量の約3分の1にあたる690万BTCが、既に公開鍵がオンチェーンで可視化されているアドレスに存在しています。これにはビットコイン初期2年間の全P2PK出力(サトシのコイン含む)、一度でもトランザクション送信で公開鍵を明かしたアドレス、P2TRキーパス支払いが含まれます。
仮に256ビットECCへShorのアルゴリズムを実装できる量子コンピューターが登場した場合、これらのコインは理論的に盗まれる可能性があります。攻撃者は公開鍵から秘密鍵を導出し、資金を移動できます。
ただし「理論的に」という条件が重要です。2026年4月のQ-Day賞受賞者が破ったのは15ビット鍵であり、ビットコインは256ビット鍵を使用しています。そのギャップは計算難易度において天文学的で、直線的には埋まりません。15ビット鍵は前回記録より512倍大きな進歩ですが、15から256へのジャンプにはキュービット数、誤り訂正、コヒーレンス時間の大幅な進展が必要で、現時点のロードマップでは数年以内に到達する見込みはありません。
正直な見方をすれば、脅威は現実的ですがタイムラインは不確定であり、ビットコインには準備する猶予があります。BIP-360はその準備の一環です。
BIP-360が行わないこと
BIP-360はあくまで提案であり、現時点でプロトコル変更には至っていません。いくつかのステップを経る必要があります。
メインネットでは未適用です。テストネット実装で概念の有効性は証明されましたが、本番環境での有効化にはソフトフォークプロセスを介したコミュニティ合意が必要です。ビットコインのソフトフォークは歴史的に提案から適用まで数年かかるケースが一般的です。SegWitは約4年、Taprootは議論開始から約3年でロックインされました。
既存アドレスを自動で保護しません。仮にBIP-360が有効化された場合、ユーザーは資金を新しいP2MR(bc1z)アドレスへ送金することで量子耐性を得られます。旧アドレスタイプのままでは脆弱なままなので、移行は自発的で自動ではありません。現在のアドレスに満足している場合、特に移動の必要はありません。
ビットコインを「完全な量子耐性」にするものではありません。BIP-360はShorのアルゴリズムによる楕円曲線鍵への攻撃を防ぎますが、将来的にハッシュ関数や格子暗号に対する新たな量子攻撃手法が発見された場合、追加のアップグレードが必要となります。本提案は既知かつ差し迫った量子リスクに対応しますが、全ての可能性には対応しません。
また、ビットコインのプルーフ・オブ・ワーク(PoW)マイニングには影響しません。ビットコインマイニングとは。SHA-256ハッシュ関数はShorのアルゴリズムに耐性があり、量子コンピューターがGroverのアルゴリズムを使った場合でも効果的なハッシュ強度は半分になる程度で、128ビット相当の強度が維持されます。
トレーダーにとって重要なタイムライン
もしBTCを保有していて「今何かすべきか」と気になる場合、現時点では特別な対応は必要ありません。ただし今後の動向には注意が必要です。
マイルストーン | 進捗状況 | 意味 |
BIP-360公開・統合 | 完了(2026年2月) | 提案が公式化・査読済み |
初テストネット実装 | 完了(2026年3月) | コードが動作し開発者が検証可能 |
Q-Day賞(15ビットECC破られる) | 完了(2026年4月) | 量子脅威が進展中 |
メインネット ソフトフォーク有効化 | 未開始 | コミュニティ合意が必要・数年規模 |
ウォレット・取引所のP2MR対応 | 未開始 | インフラ側のbc1zアドレス採用が必要 |
ユーザーによるbc1zアドレスへの移行 | 未該当 | 利用可能時に自分で資金移動要 |
この流れは過去の主要ビットコインアップグレードと同様です。技術開発が実装より数年先行します。Taprootは2018年に提案され2021年に有効化、BIP-360はまだ初期提案段階で、楽観的に見ても本番適用は数年先と考えられます。
トレーダーにとって重要なのはBIP-360自体ではなく、量子コンピューターに関するヘッドラインの進行速度です。IBMやGoogle、Caltechによる新記録や「暗号的に有効な量子コンピューター」の予想タイムラインが更新されるたび、市場は反応します。Giancarlo LelliのQ-Day賞結果も一時的にBTC価格へ影響を与えました。
よくある質問
現時点でビットコインは量子コンピューターから安全ですか?
はい。2026年4月に公開された最大規模の量子攻撃は15ビットの楕円曲線鍵の突破であり、ビットコインは256ビット鍵を利用しています。この間の計算ギャップは現在の量子ハードウェアでは埋まりません。研究者の大半は暗号的に有効な量子コンピューター登場まで数年から十年以上かかると見ています。
bc1zアドレスとは?
BIP-360で提案されたPay-to-Merkle-Root(P2MR)用アドレス形式です。bc1zプレフィックスはbech32m標準のSegWitバージョン2を指し、Taproot(bc1p・バージョン1)やネイティブSegWit(bc1q・バージョン0)と同様の区分です。このアドレスでは公開鍵がオンチェーンで完全に隠されます。
今すぐ自分のビットコインを量子耐性アドレスへ移行する必要がありますか?
いいえ。BIP-360はメインネットでまだ有効化されていないので、P2MRアドレスは本番環境に存在しません。将来的に有効化されれば、コインを新しいbc1zアドレスへ送金することで量子耐性を得られます。それまでは標準的なベストプラクティスをお守りください。以前の取引で公開鍵が露出していないアドレスを使うことが推奨されます。
量子コンピューターが進化した場合、サトシのビットコインはどうなりますか?
サトシの約100万BTCは初期のPay-to-Public-Key(P2PK)出力にあり、公開鍵が恒久的にオンチェーンで可視化されています。量子コンピューターが256ビットECDSAを破れるようになった場合、誰でもこれらのコインを取得できる可能性があります。BIP-360でもこれら既存コインは移動できないため保護できません。これはビットコイン長期セキュリティの議論で重要な論点です。
まとめ
BIP-360は緊急の修正パッチではなく、開発者コミュニティが早期の避難経路を用意している段階です。楕円曲線暗号に対する量子リスクは現実的ですが、差し迫ったものではありません。キュービット数の増加や誤り率の低下とともにタイムラインは徐々に短縮されています。P2MRはTaprootのスクリプト機能を維持しつつ、理論上690万BTCがリスクに晒されているキーパス脆弱性を排除します。
今後2〜3年で本当に問われるのは「量子コンピューター自体を今心配するべきか」ではなく「量子コンピューター開発のタイムラインがどれだけ加速しているか」です。15ビットQ-Day賞やGoogleの50万キュービット未満予測など、節目ごとに警戒感の再評価が必要となります。BIP-360がメインネットで有効化に向けて進展した際、早期対応したウォレットや取引所が競争上の優位性を持ち、未対応の事業者は迅速な対応を迫られるでしょう。その準備の差が将来的な機会につながります。
本記事は情報提供を目的としており、金融または投資アドバイスではありません。暗号資産取引には大きなリスクが伴います。投資判断はご自身で十分ご検討ください。
