GoogleのQuantum AIチームは2026年3月31日、将来の量子コンピューターがビットコインの公開鍵から秘密鍵を約9分で導出できるとする論文を発表した。
ビットコインの平均承認時間は10分であるため、攻撃者がトランザクション承認前に資金を横取りできる確率は約41%と推定される。実現には50万量子ビット未満が必要とされるが、現在の最大級の量子プロセッサーは約1,000量子ビットにとどまる。また、公開鍵がすでにブロックチェーン上に公開されている約690万BTCは時間的制約なく攻撃対象となりうる。
2021年のTaprootアップグレードにより、この脆弱性の対象範囲はさらに拡大した。Ethereumがポスト量子暗号への移行を前進させる一方、Bitcoinの移行はなお初期段階にとどまっている。
From: 
Here’s what ‘cracking’ bitcoin in 9 minutes by quantum computers actually means
【編集部解説】
今回のニュースの核心は「9分」という数字そのものではなく、その前提となる量子コンピューターの実現に必要なリソースが、従来の想定から大幅に縮小されたという事実にあります。2023年にリトインスキーが示した推計では、Bitcoinの楕円曲線暗号を破るには約900万量子ビット(物理量子ビット)が必要とされていました。それがGoogleの今回の論文では50万量子ビット未満と試算され、約20分の1にまで圧縮されました。「脅威が遠のいた」のではなく、量子脅威が従来より一段と現実味を帯びた発表だと理解すべきです。
「9分」の仕組みを少し補足します。量子コンピューターによるビットコインへの攻撃シナリオは大きく2種類に分かれます。一つは、送金時にメモリープール(承認待ちの取引が置かれる領域)に公開鍵が晒された瞬間を狙う「オン・スペンド攻撃」。もう一つは、すでに公開鍵がブロックチェーン上に露出している約690万BTCを時間をかけて解読する「アット・レスト攻撃」です。「9分」はあくまで前者、かつ「ショアのアルゴリズム」による事前計算(プライミング)が完了していることが前提の話であり、後者にはそもそも時間制約が存在しません。センセーショナルな見出しに惑わされず、この二段構えのリスク構造を理解することが重要です。
またBitcoinのマイニングが使用するSHA-256というアルゴリズムは量子攻撃の影響をほとんど受けないため、ネットワーク自体は稼働し続けます。問題の本質は「所有権の証明」を担う楕円曲線暗号の側にあります。
今回の論文にはもう一つ注目すべき点があります。Googleは実際の攻撃回路を公開せず、代わりに「ゼロ知識証明」という暗号学的手法で、回路の正確性を第三者が検証できる形で開示しました。攻撃の詳細を悪用されるリスクを避けながら、研究結果の正当性を証明するという前例のない「責任ある開示」の試みです。この姿勢自体が、Googleが脅威を真剣に捉えていることの表れと言えます。
ポジティブな側面も見逃せません。Googleの発表が業界全体の危機感を高め、対策を加速させる可能性があります。Bitcoinでは、量子耐性化を目指す提案の一つとして「Pay-to-Merkle-Root(P2MR)」を導入するBIP-360がすでにBitcoin改善提案リポジトリに登録され、BTQ Technologiesがテストネットでの実装を進めています。
ただし、現実は楽観視できません。BIP-360の共同執筆者であるイーサン・ハイルマンは、仮に合意が得られても完全移行には年単位の時間を要する可能性があるとの見方を示しています。SegWitやTaprootのような重要アップグレードでも、提案から広範な普及までに長い時間を要してきたBitcoinの保守的なガバナンス文化を踏まえれば、この見通しはなお楽観的とも言えます。一方、Ethereumでは早い段階からポスト量子暗号に関する研究や議論が進められており、対応のスピード差が将来的な信頼性評価に影響する可能性もあります。
規制面でも動きは加速しています。EUは2030年末までを視野に重要インフラのポスト量子暗号対応を求めており、各国・各業界で移行計画の具体化が進みつつあります。金融システムの根幹に関わる問題であるだけに、暗号資産業界にも規制当局からの圧力が強まることは避けられないでしょう。
長期的な視点では、Googleが自社システムの移行期限として「2029年」を設定していることが一つの指標になります。世界最先端の量子コンピューター開発者が内部で設定したデッドラインは、業界全体でも準備を進めるべき局面に入っていることを示唆しています。論文の締めくくりにある一文が、その緊張感を端的に表しています。「初期のCRQC(暗号学的に意味のある量子コンピューター)の存在は、発表を通じてではなく、ブロックチェーン上で最初に検知されうる」——これは脅し文句ではなく、ハードウェアを自ら構築しているチームの、率直な評価です。
【用語解説】
楕円曲線離散対数問題(ECDLP)
ビットコインをはじめとする多くの暗号資産のセキュリティを支える数学的難問。公開鍵から秘密鍵を逆算することが、古典的なコンピューターでは現実的な時間内に不可能であることを前提として成立している。量子コンピューターはショアのアルゴリズムを用いてこの問題を効率的に解けるとされる。
ショアのアルゴリズム
1994年に数学者ピーター・ショアが考案した量子アルゴリズム。大きな数の素因数分解や離散対数問題を、古典的なコンピューターと比べて指数関数的に高速に解ける。現在の暗号システムの多くが依拠する数学的困難性を無効化する可能性を持つ。
メモリープール(mempool)
Bitcoinネットワークにおいて、送信されたトランザクションがブロックに取り込まれるまでの間、一時的に滞留する待機エリア。
オン・スペンド攻撃 / アット・レスト攻撃
量子コンピューターによるビットコインへの攻撃類型。「オン・スペンド攻撃」はトランザクション承認前にリアルタイムで秘密鍵を導出する攻撃。「アット・レスト攻撃」はすでに公開鍵がブロックチェーン上に露出している休眠ウォレットを時間をかけて解読する攻撃。
SHA-256
Bitcoinのマイニングに用いられるハッシュアルゴリズム。量子的な高速化の影響は限定的であるため、マイニング自体は現時点で量子攻撃の主たる標的にはならないとされている。
Taproot
2021年にBitcoinに導入されたアップグレード。効率性やプライバシー向上に寄与する一方で、量子計算に対する安全性の観点では注意が必要と指摘されている。
【参考リンク】
Google Quantum AI — ホワイトペーパー(PDF)(外部)
57ページの論文本体。1,200論理量子ビット・9,000万トフォリゲートなど具体的な数値が記載されている。
BIP-360 公式サイト(外部)
BitcoinのQuantum耐性アップグレード提案「Pay-to-Merkle-Root(P2MR)」の公式情報ページ。提案の詳細と背景が記載されている。
【参考記事】
Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly(外部)
500,000量子ビット未満・1,200論理量子ビット・9,000万トフォリゲートという具体的な数値と、2029年移行タイムラインを明示したGoogle公式ブログ。
Q-Day Just Got Closer: Three Papers in Three Months Are Rewriting the Quantum Threat Timeline(外部)
従来推定(約900万量子ビット)から約20分の1への圧縮の意味と、過去12か月で3本の論文がリスク評価を塗り替えた経緯を詳述。
Google Quantum AI Achieves 10x Reduction in Resources to Break Bitcoin’s Cryptography(外部)
各ブロックチェーンの攻撃成功確率(Litecoin:3%未満、Zcash:0.08%未満)など技術的数値を最も詳細に解説した記事。
‘No longer a drill’: Google’s latest quantum breakthrough sparks fresh debate over Bitcoin’s long-term security(外部)
業界関係者の多様なコメントとともに、Bitcoinが緊急のソフトウェア修正を展開できない構造的課題を指摘した記事。
Bitcoin’s Taproot could make quantum attacks easier than expected, new Google research says(外部)
Taprootが量子脆弱性を拡大した具体的なメカニズムと関連数値を解説したCoinDesk記事。
Bitcoin may take 7 years to upgrade to post-quantum: BIP-360 co-author(外部)
BIP-360共同執筆者が「完全移行に7年」と発言。SegWitの8.5年、Taprootの7.5年との比較も記載されている。
Google’s Quantum Advances Bring Bitcoin Security Debate Into Focus(外部)
「2032年までに秘密鍵解読の確率は少なくとも10%」というジャスティン・ドレイク氏の発言など多様な専門家の評価を網羅。
【編集部後記】
今回発表された脅威について、みなさんは「まだ存在しない脅威」だと安心したでしょうか。それとも、「もうすぐ現実になる脅威」だと感じたでしょうか。Bitcoinがポスト量子暗号への移行に「7年かかる」と言われる一方で、Googleが「2029年」を自社の期限に設定しているという事実は、静かに、でも確実に何かを示唆しています。みなさんはこの「時間差」をどう読み解きますか。
