BTQ TechnologiesがBitcoinに量子耐性を実装——BIP 360テストネット初稼働
Bitcoinの暗号基盤が量子コンピュータに破られる——この「いつか来る脅威」に対し、ついに具体的な防御策が動き始めた。2026年3月20日、カナダのポスト量子暗号企業BTQ Technologiesが、BIP 360(Bitcoin Improvement Proposal 360)に基づく量子耐性トランザクションをテストネットv0.3.0で初めて実装したことを発表した。採用されたのはNIST(米国国立標準技術研究所)が標準化した格子暗号ベースのデジタル署名アルゴリズムCRYSTALS-Dilithiumだ。
この発表の意味は大きい。Bitcoinの現行署名方式であるECDSA(楕円曲線デジタル署名アルゴリズム)は、量子コンピュータのShor(ショア)のアルゴリズムによって理論上破られる可能性がある。BIP 360はこの脆弱性に正面から対処する提案であり、BTQ Technologiesはそれを「動くコード」として世界で初めて実証した。
折しも、米連邦機関は**NSM-10(National Security Memorandum 10)**に基づき、2026年4月までにポスト量子暗号への移行計画を提出する義務を負っている。政府レベルでの量子耐性化が急ピッチで進む中、Bitcoinネットワークも例外ではいられないという危機感が、今回の実装を後押しした。
BIP 360とは——Bitcoinの量子耐性化提案
BIP 360は、Bitcoinのトランザクション署名に**ポスト量子暗号(Post-Quantum Cryptography: PQC)**を導入するための改善提案だ。正式名称は「Pay to Merklized Root(P2MR)」で、従来のP2PKH(Pay to Public Key Hash)やP2TR(Pay to Taproot)に代わる新しいアドレスフォーマットを定義する。
P2MRの仕組み
P2MRの核心は、Merkle木構造を使って複数の署名スキームを1つのアドレスに束ねる点にある。具体的には以下のような構造だ。
- Merkle Root: 複数の公開鍵(異なるアルゴリズム)をMerkle木のリーフに配置し、そのルートハッシュをアドレスに埋め込む
- 署名検証: トランザクション送信時に、使用する署名アルゴリズムに対応するリーフの公開鍵とMerkleパス(証明)を提示
- アルゴリズムの柔軟性: Dilithium、SPHINCS+、Falconなど、複数のPQCアルゴリズムを同時にサポート可能
この設計の利点は、アルゴリズムアジリティ(暗号アルゴリズムの迅速な切り替え能力)を実現していることだ。将来、Dilithiumに脆弱性が見つかった場合でも、Merkle木の別のリーフに配置されたバックアップアルゴリズムに切り替えることができる。
テストネットv0.3.0の実装内容
BTQ TechnologiesがリリースしたBitcoin PQCテストネットv0.3.0では、以下の機能が実装された。
- CRYSTALS-Dilithiumによるトランザクション署名: NISTが2024年にFIPS 204として標準化したML-DSA(Module-Lattice-Based Digital Signature Algorithm)を採用
- P2MRアドレスの生成と送受信: 新しいアドレスフォーマットでBitcoinの送受信が可能
- 既存ECDSAトランザクションとの互換性: テストネット上でECDSAとDilithiumのトランザクションが共存
- ウォレット統合: Bitcoin Coreのフォーク上で動作するPQC対応ウォレット
以下の図は、量子コンピュータとブロックチェーンセキュリティの攻防がどのような時間軸で進行しているかを示しています。
この図からわかるように、量子コンピュータの脅威が本格化する前に、暗号基盤の移行を完了させるための「時間的猶予」は存在するが、その猶予を活かすには今から行動を開始する必要がある。
CRYSTALS-Dilithiumとは
CRYSTALS-Dilithium(正式名称: ML-DSA)は、NISTがポスト量子暗号標準として選定したデジタル署名アルゴリズムだ。**格子暗号(Lattice-based Cryptography)**に基づいており、量子コンピュータのShorのアルゴリズムでも効率的に解くことが困難な数学的問題——Module Learning With Errors(MLWE)問題——をセキュリティの基盤としている。
Dilithiumの特徴
- 署名サイズ: セキュリティレベル2(NIST推奨)で約2,420バイト。ECDSAの約72バイトと比較すると約33倍大きい
- 公開鍵サイズ: 約1,312バイト。ECDSAの33バイトと比較すると約40倍
- 署名生成速度: ECDSAと同等かそれ以上に高速
- 署名検証速度: ECDSAよりやや遅いが、実用上問題のない速度
Bitcoinへの影響——ブロックサイズ問題
Dilithiumの最大の課題は署名サイズの大幅な増大だ。現在のBitcoinトランザクションの署名は約72バイトだが、Dilithiumでは約2,420バイトに膨れ上がる。これはBitcoinのブロックサイズ制限(4MB)に直接影響する。
単純計算では、1ブロックあたりに含められるトランザクション数が大幅に減少し、トランザクション手数料の上昇やネットワークスループットの低下を招く可能性がある。BIP 360ではMerkle木構造によって署名データの効率化を図っているが、この課題は今後のプロトコル設計で継続的に最適化が必要だ。
ポスト量子暗号アルゴリズムの比較
Dilithium以外にも、NISTが標準化したPQCアルゴリズムは複数存在する。それぞれにトレードオフがあり、用途に応じた使い分けが重要だ。
| アルゴリズム | 種類 | 署名サイズ | 公開鍵サイズ | 署名速度 | 検証速度 | 特徴 |
|---|---|---|---|---|---|---|
| CRYSTALS-Dilithium (ML-DSA) | 格子暗号 | 2,420 B | 1,312 B | 高速 | 高速 | NISTの第一推奨、BIP 360が採用 |
| Falcon | 格子暗号 | 666 B | 897 B | 中速 | 非常に高速 | 署名サイズが小さいが実装が複雑 |
| SPHINCS+ (SLH-DSA) | ハッシュベース | 7,856 B | 32 B | 低速 | 中速 | 公開鍵が極めて小さい、保守的な設計 |
| ECDSA(現行Bitcoin) | 楕円曲線 | 72 B | 33 B | 高速 | 高速 | 量子コンピュータに脆弱 |
以下の図は、各ポスト量子暗号アルゴリズムの特性を視覚的に比較しています。
この比較から、BIP 360がDilithiumを第一候補として採用した理由は明確だ。署名サイズと速度のバランスが最も優れている。Falconは署名サイズが小さく魅力的だが、浮動小数点演算が必要な実装の複雑さがBitcoinのようなミッションクリティカルなシステムには不向きとされる。SPHINCS+はハッシュベースで数学的仮定が最も保守的だが、署名サイズが大きすぎてBitcoinのブロックサイズ制限との相性が悪い。
NSM-10と米連邦政府のポスト量子暗号移行
BTQ Technologiesの発表が特に注目される背景には、米国政府のポスト量子暗号移行の加速がある。
NSM-10の概要
2022年5月にバイデン政権が署名した**NSM-10(National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems)**は、連邦政府機関に対してポスト量子暗号への移行を義務付ける大統領覚書だ。
この覚書の核心は以下の通り。
- 2026年4月までに: 各連邦機関は、自らの暗号システムのインベントリを完了し、PQCへの移行計画を提出しなければならない
- 2030年までに: 連邦政府の主要システムをPQCに移行完了
- 「Harvest Now, Decrypt Later」への対策: 敵対国が現在暗号化されたデータを収集し、将来の量子コンピュータで解読する攻撃に対する防御
暗号資産業界への波及
NSM-10は直接的にはBitcoinを対象としていないが、その影響は暗号資産業界全体に及ぶ。連邦政府がPQCへの移行を進めれば、金融規制機関もカストディアン(暗号資産保管業者)やイクスチェンジ(取引所)に対して同様の基準を要求する可能性が高い。
実際、SEC(米国証券取引委員会)やCFTC(商品先物取引委員会)は、暗号資産関連企業のサイバーセキュリティ基準を段階的に強化しており、PQCへの移行はその延長線上にある。
現時点のリスク評価——「長期リスク、直近の脅威ではない」
Ark Investは2026年3月のレポートで、量子コンピュータはBitcoinにとって**「長期的なリスクではあるが、差し迫った脅威ではない」**と結論づけている。その論拠は以下の通りだ。
楽観的な見方
- 圧倒的な性能ギャップ: BitcoinのECDSA(secp256k1)を破るには数百万の物理量子ビットが必要だが、現在最高のIBM Condorでも約1,100物理量子ビットにとどまる。ギャップは約1,000〜10,000倍
- 段階的な進化: 量子コンピュータの性能向上は段階的に進み、業界が対策を講じる時間は十分にある
- アドレスの再利用回避: 公開鍵が露出するのはトランザクション送信時のみ。アドレスを再利用しなければ公開鍵は秘匿されるため、攻撃対象が限定される
- ソフトフォーク対応可能: BIP 360のような提案はソフトフォーク(後方互換性のあるアップデート)で導入可能であり、ネットワーク分裂のリスクは低い
慎重な見方
- 「Harvest Now, Decrypt Later」攻撃: 国家レベルの攻撃者が、現在のBitcoinトランザクションデータを保存し、将来の量子コンピュータで秘密鍵を逆算する可能性がある
- サトシのBitcoin: Satoshi Nakamotoが保有するとされる約100万BTCの多くは、初期のP2PK(Pay to Public Key)形式で保管されており、公開鍵が既に露出している。これらは量子攻撃に対して最も脆弱だ
- 移行の複雑さ: Bitcoinの分散型ガバナンスでは、プロトコル変更に対する合意形成に数年を要することがある。SegWitの導入に約2年、Taprootの有効化に約4年かかった前例がある
- 量子コンピュータの予期せぬブレークスルー: 量子エラー訂正や新しい量子ビット技術の飛躍的進歩により、タイムラインが大幅に前倒しされるリスク
リスク評価のまとめ
| 脅威シナリオ | 発生時期(予測) | 影響度 | 対策状況 |
|---|---|---|---|
| ECDSA署名の量子解読 | 2035年〜2045年 | 極めて高い | BIP 360で対策開始 |
| Harvest Now, Decrypt Later | 既に進行中 | 高い | 新規トランザクションのPQC化が必要 |
| サトシのBTC量子攻撃 | 2035年〜 | 市場心理に甚大な影響 | コミュニティ議論中 |
| SHA-256マイニング攻撃 | 2050年以降 | 中程度 | 128ビット相当の安全性が残存 |
他のブロックチェーンプロジェクトの量子耐性対策
Bitcoinだけでなく、他の主要ブロックチェーンも量子耐性化に向けた取り組みを進めている。
- Ethereum: Vitalik Buterinが2024年にEIP-7560として量子耐性アカウント抽象化を提案。アカウント抽象化の枠組みで、ユーザーが署名アルゴリズムを自由に選択できる設計
- Algorand: 創設者Silvio Micaliが暗号学者であることもあり、プロトコル設計時から量子耐性を考慮。Falcon署名のサポートを検討中
- QRL(Quantum Resistant Ledger): 2018年のローンチ時からXMSS(Extended Merkle Signature Scheme)を採用した唯一の量子耐性ブロックチェーン
- Solana: Solana LabsがFiredancerクライアントにPQC署名のオプション統合を検討中
日本への影響と考察
日本の暗号資産規制環境
日本は暗号資産規制の先進国であり、金融庁が交換業者に対して厳格なセキュリティ基準を課している。2025年の改正資金決済法では、暗号資産交換業者のサイバーセキュリティ体制の強化が盛り込まれた。量子耐性暗号への移行が国際的な潮流となれば、金融庁も規制に反映する可能性が高い。
日本企業の量子コンピュータ開発
日本は量子コンピュータ開発でも存在感を示している。理化学研究所が2023年に国産超伝導量子コンピュータを稼働させ、富士通は2025年に64量子ビットプロセッサを発表した。NTTは光量子コンピュータの研究で世界をリードしている。これらの成果は、量子耐性暗号への需要を日本国内でも加速させるだろう。
日本の投資家が取るべきアクション
日本の暗号資産投資家にとって、量子耐性は「いつか」の問題ではなく「準備すべき今」の課題だ。
- ウォレット管理の徹底: アドレスの再利用を避け、使用済みアドレスからは速やかに資産を移動する。これだけで量子攻撃のリスクを大幅に軽減できる
- ハードウェアウォレットのファームウェア更新: Ledger、Trezorなどの主要ハードウェアウォレットがPQC対応ファームウェアをリリースした際には、速やかにアップデートする
- PQC対応プロジェクトへの注目: BIP 360の進捗やEthereumのPQC対応は、暗号資産の長期的な競争力を左右する重要なファクター
デジタル資産全般のセキュリティ
量子コンピュータの脅威は暗号資産に限らない。パスワード管理、VPN、電子署名など、現代のデジタルセキュリティ基盤のほぼ全てがRSAやECDSAなどの古典暗号に依存している。個人レベルでも、セキュリティの基盤を見直す良い機会だ。
1Passwordのようなパスワードマネージャーは、マスターパスワードの暗号化にAES-256を使用しており、これは量子コンピュータに対しても128ビット相当の安全性を維持する。パスワードの使い回しや脆弱な認証を排除することは、量子時代以前の「今」から有効な対策だ。
今後の展望
BTQ TechnologiesのBIP 360テストネット実装は、Bitcoinの量子耐性化における最初の具体的なマイルストーンだ。しかし、テストネットからメインネットへの道のりは長い。
今後のロードマップ(予測)
- 2026年Q2〜Q3: テストネットv0.4.0でFalconやSPHINCS+などの追加アルゴリズムをサポート
- 2026年Q4〜2027年: Bitcoin Coreの開発者コミュニティでBIP 360の正式レビューと議論
- 2027年〜2028年: テストネットでの大規模負荷試験、署名サイズ最適化の研究
- 2028年〜2030年: ソフトフォークによるメインネット導入の合意形成
- 2030年以降: 段階的なメインネット移行、旧アドレスからP2MRアドレスへの資産移動推奨
まとめ
BTQ TechnologiesによるBIP 360テストネットの実装は、「量子コンピュータがBitcoinを破壊する」という漠然とした脅威に対して、初めて動作するコードで回答を示したものだ。CRYSTALS-Dilithiumによる量子耐性署名が実際にBitcoinテストネット上で稼働したという事実は、技術的な実現可能性を証明した点で極めて重要だ。
NSM-10の2026年4月期限、Ark Investの「長期リスク」評価、そしてBTQ Technologiesのテストネット実装——これら3つのピースが揃ったことで、暗号資産の量子耐性化は「議論」から「実行」のフェーズに移行しつつある。
読者が今すぐ取るべき3つのアクション
- Bitcoinアドレスの再利用を停止する: 1回の送金ごとに新しいアドレスを使用し、公開鍵の露出を最小化する。ウォレットのHDウォレット機能(BIP 32/44)を活用すれば自動で新アドレスが生成される
- BIP 360の進捗をウォッチする: BTQ TechnologiesのGitHubリポジトリやBitcoin開発者メーリングリストでBIP 360の議論をフォローし、メインネット導入のタイムラインを把握する
- 個人のデジタルセキュリティを強化する: パスワードマネージャーの導入、二要素認証の有効化、VPNの使用など、量子時代以前から有効な基本的セキュリティ対策を今すぐ実施する
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星