Quantum Horizon: An evaluation of quantum computing as a threat to Bitcoin and Ethereum

本論文は、量子コンピューティングがビットコインやイーサリアムに対して、マイニングよりもむしろショアのアルゴリズムによるデジタル署名の解読を通じて重大かつ管理可能な脅威をもたらすことを論じており、決定的な課題は技術そのものよりも、ガバナンス主導による耐量子計算機暗号への適時な移行にあるとし、2050年までに暗号解読に足る量子コンピュータが出現する確率は60%と予測している。

要約

量子ホライゾン（Quantum Horizon）の解説：迫りくる、しかし制御可能な嵐

全体像：迫りくる、しかし制御可能な嵐

ビットコインやイーサリアムを、非常に高いセキュリティを備えた二つの巨大な金庫だと想像してみてください。長年、人々は「量子コンピュータ」という超高性能なコンピューターが、いつかこれらの金庫の鍵を開けてしまうのではないかと心配してきました。

この論文は、その脅威は現実的ではあるものの、明日すぐに起こるような破滅的な事態ではないと主張しています。著者によれば、私たちは嵐の雲を明確に捉えており、どの鍵が脆弱であるかも正確に把握しており、それらを交換するための設計図もすでに持っています。唯一、システム崩壊を引き起こす可能性があるのは、管理チーム（「ガバナンス」チーム）の対応が遅すぎた場合のみです。

以下に、論文の主要なポイントを解説します。

---

1. 二種類の異なる「超能力」（ショア vs グローバー）

人々はしばしば、二種類の異なる量子コンピュータによる攻撃を混同してしまいます。論文では、これらを混同すべきではないと述べています。

• 真の脅威（ショアのアルゴリズム）：マスターキー
  • 比喩： あなたの銀行口座には、あなたが所有者であることを証明するデジタル署名（独自の印）があります。ショアのアルゴリズムは、その公開された印を見て、あなたの秘密のプライベートキーを一瞬で見つけ出してしまう魔法の装置のようなものです。
  • 結果： もし量子コンピュータがこれを入手すれば、署名を偽造してあなたのコインを盗むことができます。これが本当の危険です。
• 偽の脅威（グローバーのアルゴリズム）：高速な推測
  • 比喩： ビットコインのマイニングは、数字を当てて当たりを引く巨大な宝くじのようなものです。グローバーのアルゴリズムは、この「推測」のスピードを上げるブーストのようなものです。コンピューターが推測する時間を（平方根のレベルで）劇的に短縮します。
  • 結果： 論文によれば、これは問題になりません。これは、フェラーリと競走している人間に、少し速い電卓を与えた程度の差です。ネットワーク側が難易度を調整（宝くじをより難しく）すれば、量子コンピュータといえども支配するにはあまりに遅すぎます。マイニングは安全です。

2. タイムライン：「すぐ」ではなく「今はまだ」

この「マスターキー」を持つマシンは、いつ誕生するのでしょうか？

• 現在： まだ存在しません。現在ある最高のマシンは、鍵を壊すために必要なスーパータンカーと比較すると、単なる一台の自転車のようなものです。私たちは、必要なパワーに到達するまで、およそ400倍から500倍の距離があります。
• 予測： 著者らは、専門家の予測とハードウェアの進歩を組み合わせた複雑なシミュレーション（天気予報のようなもの）を行いました。
  • 2035年まで： そのマシンが存在する確率は約6分の1です。
  • 2040年まで： 確率は**30%**に上昇します。
  • 2050年まで： 確率は約**60%**になります。
• 教訓： 「パニックになる時」ではありませんが、「荷造りを始めるべき時」ではあります。マシンが到着する前に、問題を解決するための窓口として、おそらく10年から15年の猶予があります。

3. 実際に危険にさらされているのは誰か？（「露出した」コイン）

すべてのビットコインやイーサリアムがリスクにさらされているわけではありません。それは、「印（公開鍵）」がどこに見えているかによります。

• 安全圏（新しいアドレス）： もしあなたがお金を入れたアドレスが未使用の新しいものであるなら、あなたの秘密のキーは「片面鏡」の後ろに隠されています。量子コンピュータであっても、あなたが実際にお金を使おうとするまでは、その中身を見ることはできません。
• 危険圏（再利用されたアドレス）： もし以前にそのアドレスから送金を行ったことがあるなら、あなたの「印」はブロックチェーン上に永遠に公開されています。量子コンピュータは、そこに置かれているお金を盗むことができます。
• 「失われた」ゾーン（不可避のリスク）：
  • ビットコイン： 約230万枚のビットコインが「休眠状態」（鍵を紛失した、あるいはサトシ・ナカモトのような初期の時代のもの）にあります。これらの所有者は二度と動かすことができません。量子コンピュータが到来すれば、これらのコインは永遠に失われます。これは確定的な損失ですが、固定された量（全ビットコインの約12%）です。
  • イーサリアム： イーサリアムは銀行口座のように動作するため（同じアドレスを再利用するため）、全イーサリアムの**50〜65%**が現在「露出」しています。しかし、失われたビットコインとは異なり、これらの所有者は資産を安全な場所へ移動させることが可能です。

4. レース：間に合うのか？

論文は、ソフトウェアのアップグレード（移行）にかかる時間と、量子コンピュータが到着するまでの時間を比較しています。

• アップグレード計画： 私たちはすでに新しい「量子耐性」のある鍵（2024年に標準化完了）を持っています。
  • イーサリアムには簡単な道があります。ネットワーク全体を停止させることなく、個々のアカウントが一つずつ鍵をアップグレードできるようにできます。
  • ビットコインには難しい道があります。ルールを変更するために、コミュニティ全体での大規模な合意が必要であり、これは政治的に困難です。
• レースの結果： もし私たちが今（2026年）アップグレードを開始すれば、2029年から2031年までに作業を完了できます。これは、量子コンピュータが到着するという最も楽観的な予測（2035年）よりも数年早く達成できます。
• 真の危険： 私たちが負ける唯一のパターンは、**「遅延」**した場合です。もしコミュニティが議論に時間を費やしすぎ、2033年まで開始できなかったとしたら、ドアを開けっ放しにした状態で襲われる可能性があります。

5. より広い視点（他の暗号資産）

著者らは上位20種類の暗号資産についても調査しました。

• 悪いニュース： 完全に安全なものはまだ一つもありません。すべて、量子コンピュータによって破られる可能性のあるタイプの「鍵」を使用しています。
• 良いニュース： 一部の通貨（XRPやSolanaなど）は、すでに新しい鍵のテストを行っています。一方で、他の通貨（Dogecoinなど）は遅れをとっています。
• 教訓： どのような数学的仕組みを使っているかは重要ではありません。重要なのは、アップグレードの計画を持っているか、そしてお金を使うまで鍵を隠しているかどうかです。

まとめ：どう行動すべきか？

論文は、パニックではなく**「準備を伴う緊急性」**という姿勢で締めくくられています。

1. ユーザーへ： 古いアドレスを再利用するのはやめましょう。古いアドレスに資金がある場合は、新しいアドレスへ移動させてください。新しい「量子安全」なウォレットが登場したら、それを利用するように計画してください。
2. ネットワークへ： アップグレードのプロセスを直ちに開始してください。緊急事態が発生してからでは遅すぎます。
3. 結論： 脅威は現実であり、タイムラインは短くなっていますが、この問題は解決可能です。システムを破壊できる唯一の要因は、私たちが修正を行うのが遅すぎることです。「不可避な」損失（失われたコイン）は小さく既知のものですが、残りのネットワークは救うことができます。

技術概要

技術要約：クォンタム・ホライゾン（Quantum Horizon）

問題提起
本論文は、ビットコインおよびイーサリアムの暗号学的安全性に対する量子コンピューティングの脅威を取り上げる。具体的には、楕円曲線デジタル署名（secp256k1上のECDSAおよびBLS12-381上のBLS）を脅かすショアのアルゴリズムと、非構造化探索を加速させるグローバーのアルゴリズムという、二つの異なる量子アルゴリズムの混同に対処している。中心的な問いは、これらのネットワークがポスト量子標準へ移行できる前に、暗号論的に意味のある量子コンピュータ（CRQC）が出現するかどうか、そして既存の資産への曝露範囲がどの程度であるかである。

手法
著者らは、リソース推定、ハードウェア・モデリング、およびチェーン分析を組み合わせた多角的なアプローチを採用している。

• リソース推定： 本論文は、アルゴリズムの進歩（具体的には、因数分解におけるトフォリ・ゲート数の削減（2025年〜2026年））とハードウェアのスケーリング・モデルを統合している。論理量子ビット（誤り訂正済み）と物理量子ビットを区別し、「フォールトトレランス（耐故障性）準備ラグ」を適用することで、生の量子ビット数と機能的なマシンとの間のエンジニアリング上のギャップを考慮に入れている。
• モンテカルロ予測： CRQCの到来を予測するために、著者らは4つのシグナルを統合している。(1) アルゴリズムの改善によるリソース要件の減少、(2) ハードウェアのスケーリング率（物理量子ビットの倍増）、(3) フォールトトレランス準備ラグ、(4) 専門家調査（Global Risk Institute, Mosca）。これらの乖離するシグナルを単に平均化するのではなく、モデル内でその不一致を保持することで、二峰性の確率分布を導き出している。
• 曝露分析： ビットコインとイーサリアムに対して詳細なオンチェーン分析を行い、「低減不能な」リスク（休眠・紛失したコイン）と「移行可能な」リスク（アクティブなコイン）を区別している。ハッシュベースのアドレスの背後に隠されているのか、あるいは公開鍵が恒久的に露出しているのかを定量化するために、チェーンスキャンを利用している。
• マイニング競争力モデリング： グローバーのアルゴリズムがプルーフ・オブ・ワーク（PoW）に与える影響を、フォールトトレラントな演算コスト、並列化の限界、およびネットワークの難易度調整を考慮に入れつつ、較正されたモデルを用いて評価している。

主な貢献

1. 脅威の分離： 本論文は、署名への脅威（ショア）とマイニングへの脅威（グローバー）を厳密に分離している。結論として、署名は脆弱であるが、PoWマイニングは、二次的な制限、高いフォールトトレランス・コスト、および平方根による並列化の壁により、量子加速による実質的な脅威を受けないとしている。
2. 二峰性のタイムライン予測： 単一の点推定ではなく、二峰性の分布を提示している。一方のモードは専門家調査（2038年〜2040年を中心とする）を反映し、もう一方はボトムアップの物理モデル（2052年を中心とする）を反映している。統合された予測では、2035年までにCRQCが登場する確率は約6分の1であり、2050年までには約60%に上昇する。
3. 曝露の層別化： 著者らは「低減不能な」リスクの底を定量化している。ビットコインについては、約230万BTC（供給量の12%）が低減不能なリスク（休眠・紛失）にあり、約370万BTCが移行可能であると推定している。イーサリアムについては、供給量の50〜65%が公開鍵が露出した「使用中」のアカウントに存在すると推定しているが、これらは主にアカウント・アブストラクションを通じて移行可能であると述べている。
4. ガバナンスによる制約： 本論文は、主要なボトルネックは技術的な実現可能性ではなく、ガバナンスであると主張している。2026年に開始される適時の移行は、2029年〜2031年までに完了すると予測されており、これは楽観的な2035年のCRQC出現よりも早い。失敗のリスクは、技術的な実装能力ではなく、ガバナンスの麻痺にある。

結果

• ハードウェア・ギャップ： 2026年6月時点で、最高のハードウェアは約1,000〜1,200個の物理量子ビット、および最大でも約100個の論理量子ビットを備えている。secp256k1を解読するには約1,200〜2,330個の論理量子ビットが必要であり、これは積極的な見積もりに対しても400〜500倍の差があり、保守的な見積もりに対してはさらに数桁の開きがあることを意味する。
• マイニングの安全性： 最も楽観的な100 GHzのゲート速度を持つ単一の量子マシンは、約21 TH/sに達するが、これは現代の単一ASICの約10分の1である。ネットワークの難易度調整が量子マイニングの優位性を無効化するため、「量子マイナー」の脅威は無視できるレベルとなる。
• 脆弱性の分布：
  • ビットコイン： 供給量の約30%が静止状態で量子曝露されている。このうち、約12%は低減不能（休眠・紛失）であり、約19%は移行可能である。
  • イーサリアム： アカウントの再利用により、供給量の約50〜65%が静止状態で曝露されているが、この露出はビットコインのUTXOモデルよりも、アカウント・アブストラクション（EIP-7702/8141）を通じて構造的に修正しやすい。
• 市場の準備状況： 上位20の暗号資産に関する調査では、完全なポスト量子対応を実現しているものは一つもなかった。準備状況は、使用されている特定の曲線ではなく、移行の進捗状況と曝露モデル（UTKO対アカウント）によって決定される。ビットコインとイーサリアムは、具体的な移行経路を持っているにもかかわらず、ガバナンスの複雑さゆえに、主要なチェーンの中でも準備が進んでいない側に位置している。

意義と主張
本論文は、ビットコインおよびイーサリアムに対する量子脅威は、現実的であり、広範であるが、限定的かつ大幅に軽減可能であると主張している。

• 軽減可能性： 脅威はデジタル署名に限定されている。基礎となるコンセンサス・メカニズム（PoW/PoS）およびハッシュ関数は安全である。
• 実行可能性： 「制約となるのはガバナンスの速度」である。著者らは、2026年に迅速な移行を開始すれば、CRQCが到来する可能性が高い時期よりも数年早くアップグレードを完了できると断言している。
• 残留リスク： 修復不可能な損失は、休眠中のコイン（例：サトシ時代のビットコイン）という「低減不能なコア」のみであり、これはシステム的な崩壊ではなく、境界が明確で特性化可能な損失である。
• 姿勢： 本論文は、過度な警戒ではなく「準備を伴う緊急性」を提唱している。アルゴリズムの進歩によりタイムラインは圧縮されているものの、CRQCが出現する前に分散型のコミュニティが効果的に連携してポスト量子標準（NISTのML-DSAやSLH-DSAなど）を有効化できる限り、移行の窓は開かれていると結論付けている。