報酬ハブ 
2026年4月24日、独立研究者Giancarlo Lelli氏が、クラウド上で利用可能な量子ハードウェアを使い、15ビットの楕円曲線暗号(ECC)公開鍵から秘密鍵を導出することに成功しました。これはShorのアルゴリズムの変種を利用したもので、Project Elevenという量子セキュリティ研究団体からQ-Day賞として1BTCが授与されました。これは、ビットコインやイーサリアムなど主要ブロックチェーンを守る暗号技術への最大規模の量子攻撃の実証となります。
15ビット鍵は、実際のウォレットを守る256ビット鍵とは大きく異なり、ビットコインのセキュリティが破られたわけではありません。しかし、現在量子コンピューターが解読可能な範囲と、実際に脅威となる範囲の間のギャップは予想以上に急速に縮まっています。2026年の第1四半期に公開された3つの研究論文が、そのタイムラインを大きく変えました。
Lelli氏の実証内容とその意義
今回の攻撃は、楕円曲線離散対数問題(ECDLP)を標的としています。これは、秘密鍵から公開鍵を生成することはできても、通常のコンピューターではその逆が事実上不可能であるという数学的関係です。ビットコイン送信時、ウォレットは秘密鍵で署名し、対応する公開鍵をネットワークに公開します。もし誰かがECDLPを解ければ、その秘密鍵及びコインを得ることができます。
Lelli氏が解読した15ビットの領域は32,767通りと非常に小さいですが、これまでの記録(2025年9月の6ビット:64通り)からは512倍のジャンプとなります。しかも、専用研究所ではなく一般公開されたクラウド量子ハードウェアで達成されました。
重要なのは鍵の大きさではなく、この分野の進歩速度です。量子研究者は、理論から実機デモまで1年足らずで到達しました。
15ビットと256ビットの距離
率直に言うと、15ビットと256ビットの間には極めて大きな差があります。256ビット鍵は約10の77乗通り。現在の量子プロセッサは1,000〜1,500キュービット規模であり、ほとんどが安定した計算には不十分です。現実のビットコイン鍵を解読するには、桁違いの高品質かつ膨大な量のキュービットとエラー訂正が必要となります。
しかし2026年初頭、3つの研究論文により、256ビットECDLP攻撃に必要とされるキュービット数の推定値が大幅に下がりました。
Google Quantum AIは2026年3月、57ページにわたるホワイトペーパーを発表。最適化された回路を使えば、1,200〜1,450論理キュービット、7,000万〜9,000万ToffoliゲートでECDLP-256が解けると示しました。物理キュービット換算では50万未満(従来の推定値は1,000万規模)と、20分の1へ低減されました。
続くCaltechとOratomicの論文では、中性原子型量子アーキテクチャなら物理キュービット1万個程度でも同攻撃が可能と推定。中性原子型はQuEraやPasqal等が巨額投資で開発を進めています。
「1,000万必要」から「1万かも」まで、わずか3か月で推定値が劇的に下がりました。Project Elevenの研究者は、この進展を「物理法則の壁ではなく、エンジニアリング課題」と述べています。
実際にリスクが高いビットコインは?
すべてのビットコインアドレスが同じリスクに晒されているわけではありません。量子リスクは、公開鍵がすでにブロックチェーン上に露出しているアドレスに限られます。
一度も出金していないアドレスでは、公開されているのは公開鍵のハッシュのみで、ECDLP攻撃だけでは解読できません。しかし送金した時点で、署名の一部として公開鍵全体がネットワークに公開され、永久にブロックチェーン上に残ります。
Project Elevenは、約690万BTCが公開鍵の露出したアドレスに存在すると推定しています。これは総供給量の約1/3に相当し、現在価格で5,500億ドル超。初期のPay-to-Public-Key形式(公開鍵自動露出)でマイニングされた、サトシ・ナカモトの推定110万BTCも含まれます。
現代のウォレットでアドレスを使い捨てし、再利用しなければ量子攻撃リスクは大幅に低減できます。
| アドレスタイプ | 公開鍵露出? | 量子リスク |
|---|---|---|
| 一度も出金なし(ハッシュのみ) | いいえ | 低い(ハッシュも破られない限り) |
| 一度でも出金あり | はい | ECDLP解読時は高リスク |
| Pay-to-Public-Key(初期BTC) | デフォルトで露出 | 高リスク |
| Taproot(P2TR) | キーパスで鍵露出 | 中程度 |
ビットコイン開発者による防御策
ビットコイン開発コミュニティも対策を進めています。BIP-360「Pay-to-Merkle-Root(P2MR)」は、Taprootに類似しつつ、量子脆弱なキーパス消費を排除した新型出力タイプを提案しています。BIP-360では、トランザクション署名に楕円曲線暗号の代わりにポスト量子暗号技術を適用。2026年初頭からテストネットで実装が進んでいます。
さらに2026年4月14日にはBIP-361が公式リポジトリで公開され、「ポスト量子移行とレガシー署名の廃止」を明記。猶予期間後は旧ECDSAアドレスからの送金が無効化され、移行しないコインは実質凍結される計画です。
この「凍結」には議論も多く、サトシのコイン含む長期未動作アドレスが永久に利用不能となる可能性も。ネットワーク保護の観点から賛成意見もありますが、資産権利の観点からは反対意見もあり、合意形成が注目されています。
Googleは2029年までの業界全体でのポスト量子暗号移行を提案しており、ビットコインには3年ほどでネットワーク全体の署名方式を変更するソフトフォークが求められています。
イーサリアムなど他チェーンへの影響
ビットコインに注目が集まりますが、量子リスクはイーサリアムなどECDSAや類似楕円曲線署名方式を採用するブロックチェーンにも当てはまります。特にイーサリアムは、全ての取引済アドレスの公開鍵が恒久的に露出し、さらにアドレス再利用が一般的なため、リスクが相対的に高い可能性があります。
イーサリアムもVitalik Buterin氏の「Splurge」計画でポスト量子移行を検討中ですが、具体的な実装やタイムラインは未定です。研究チームは格子ベース署名方式の調査を行っていますが、本格導入までは時間がかかります。
SolanaやAvalancheなど、ECDSAやEdDSA署名のチェーンも同じ基本的な脆弱性を持ち、開発リソースによる差が顕著です。最新・高速を謳うチェーンも、Lelli氏が示した通り1990年代型の暗号技術に依存している現状があります。
よくある質問
現時点で量子コンピュータはビットコインを盗めますか?
いいえ。Lelli氏が解読した15ビット鍵は、実際の256ビット鍵より約10の72乗も小さい規模です。現存の量子コンピューターは、鍵解読に必要な規模やエラー補正能力を持ちません。リスクは現実的ですが、差し迫ったものではありません。
ビットコイン暗号を破るには何キュービット必要?
Googleの2026年3月の論文では、表面コードエラー訂正を用いた超伝導型で50万未満の物理キュービットと推定。Caltech & Oratomic論文では中性原子型で1万個規模の可能性も提示。現状の量子コンピューターは1,000~1,500キュービット程度です。
BIP-360は量子攻撃からビットコインを守れますか?
BIP-360は、量子脆弱な楕円曲線キーパスを除去する新しい出力タイプ「Pay-to-Merkle-Root」を導入します。2026年初頭からテストネット実装、BIP-361での段階的移行計画も検討中。発動にはソフトフォークとコミュニティ合意が必要です。
資産保護のため新しいアドレスに移した方が良いですか?
一度も使っていないアドレスは公開鍵が露出していないため、量子リスクは低いです。出金済アドレスは公開鍵がブロックチェーンに残るため、現代ウォレットで都度新アドレスを作成することがリスク低減に有効です。ただし現時点で量子コンピューターが直ちに脅威となる状況ではありません。
まとめ
15ビットのECC解読はビットコイン危機ではなく、量子リスクの具体化を示す実証です。2026年第1四半期には256ビット攻撃に必要なリソース推定値が20分の1まで縮小し、ハードウェアやアルゴリズムの進化で今後も減少が予想されます。BIP-360/361など移行策が進む中、量子技術の進展スピードも加速しており、対応には時間的余裕は多くありません。公開鍵露出アドレスの6.9百万BTCが最もリスクを抱えており、BIP-361の議論動向が注目されます。全ネットワーク移行まで3年という短期間での対応が求められています。
本記事は情報提供のみを目的とし、金融や投資の助言ではありません。暗号資産取引にはリスクが伴います。取引判断はご自身で十分にご検討ください。
