Google Quantum AIがBitcoin暗号を9分で解読可能と発表——3本の論文が量子脅威の常識を塗り替えた

2025年5月から2026年3月の間に、RSAおよび楕円曲線暗号（ECC）の解読に必要な量子ビット数を大幅に引き下げる3本の論文が発表された。Google Quantum AIのクレイグ・ギドニーは2025年5月、100万量子ビット未満でRSA-2048を解読できることを示した。2026年2月、Iceberg Quantumはシドニー大学発のスタートアップで、600万ドルのシードラウンドと同時にPinnacleアーキテクチャを発表し、必要量子ビット数を10万未満に削減した。

2026年3月31日、Google Quantum AIはEthereum FoundationのジャスティンドレイクとStanfordのダン・ボネーとの共著論文で、50万未満の量子ビットによりBitcoin・Ethereumを保護するECCを約9分で解読できると発表した。Bitcoinの平均ブロック時間は10分であり、Googleは秘密鍵を事前承認前に導出できる確率を約41%と推定している。

From: Q-Day Just Got Closer: Three Papers in Three Months Are Rewriting the Quantum Threat Timeline

【編集部解説】

現代のインターネットセキュリティを支える暗号技術が、量子コンピュータによって破られる日——いわゆる「Q-Day」——が、現実的な脅威として急速に近づきつつあります。今回の3本の論文は、その到来を告げる警報です。

まず「RSA暗号」と「楕円曲線暗号（ECC）」について整理しましょう。RSAはネットバンキングやメールを守る公開鍵暗号方式です。ECCはBitcoinやEthereumなど暗号通貨の電子署名に使われており、より少ない計算量で同等の安全性を実現する、より現代的な方式です。これらは現在の古典コンピュータでは事実上解読不可能ですが、ショアのアルゴリズムを搭載した十分な規模の量子コンピュータがあれば原理的に破れることが1994年から知られていました。問題は「どれだけの量子ビットが必要か」という規模感でした。

この「必要量子ビット数」の推定値が、ここ数ヶ月で驚くほど急激に下がっています。RSA-2048の解読に必要な量子ビット数は、2012年の約10億から、2019年に約2000万、2025年5月に100万未満、そして2026年2月には10万未満へと推移しました。重要なのは、この削減がハードウェアの進化ではなく、アルゴリズムと誤り訂正技術の改善によって達成されている点です。つまり、量子コンピュータ本体がまだ非力であっても、「使い方の効率化」だけでここまで来てしまったということです。

3本目のGoogle Quantum AIのホワイトペーパーが特に衝撃的です。ECCの解読は、RSA-2048と比較してToffoliゲート数が約100分の1で済むため（7000〜9000万対65億）、解読時間が「1週間」から「数分」へと激減します。Bitcoin取引では公開鍵が一時的に露出する瞬間があり、その約9分という計算時間がBitcoinの平均ブロック確認時間（10分）を下回る可能性があります。Google自身がこの「オンスペンド攻撃」の成功確率を約41%と試算していることは、単なる学術的議論の範囲を超えています。

このニュースを読む際に気をつけていただきたいのは「現在すぐに攻撃できる」という意味ではないということです。50万量子ビットを数分間、フォールトトレラントに動作させ続けるシステムは、まだ存在しません。Google最新のWillowチップでさえ105量子ビットです。ただし、Iceberg Quantumが依拠するQLDPCコードなど新アーキテクチャには、接続性やデコーディングレイテンシなど未解決のエンジニアリング課題も残ります。「数字は下がったが、解かれた問題は別の難しさに置き換わっている」という指摘も研究者の間では共有されています。

一方で、見過ごしてはならないリスクがあります。「Harvest Now, Decrypt Later（今すぐ収集し、後で復号する）」と呼ばれる攻撃戦略です。国家レベルのアクターが、将来の量子コンピュータで復号することを前提に、現在の暗号化通信を大量収集しているとされます。2030年代以降も秘密にしておく必要があるデータ——外交文書、医療記録、企業の知的財産——は、「今この瞬間」すでにリスクにさらされている可能性があります。

Googleがこの論文で実際の攻撃回路を公開せず、ゼロ知識証明（ZK Proof）という手法で「回路は機能するが手の内は見せない」という開示を選んだことも注目に値します。これは量子暗号解析の分野では前例のない責任ある開示の試みであり、研究倫理の新たな基準になりうるアプローチです。

規制・政策面では、NISTが2024年8月に耐量子暗号（PQC）の最初の3標準（ML-KEM、ML-DSA、SLH-DSA）を確定しており、2030年以降にRSAやECDSAを非推奨にするタイムラインを示しています。今回の論文群は、この政策判断の根拠をさらに強化するものであり、移行を先送りにする余地を確実に狭めています。

ポジティブな視点で捉えるならば、こうした研究の公開こそが、業界全体の移行を促す「社会的アラーム」として機能しています。暗号通貨コミュニティでは、Bitcoin側のBIP 360、Ethereum側のPQC移行チームなど、対応策の議論が急速に加速しています。「まだ時間はある、でも確実に縮まっている」——これが今この瞬間の正確な状況認識です。

【用語解説】

Q-Day（Qデイ）
量子コンピュータが現在の暗号技術（RSAやECCなど）を実際に解読できるようになる日のこと。「Quantum Day」の略。その到来時期は研究の進展次第で変化し続けており、今回の論文群はその日程が前倒しになっていることを示している。

RSA-2048
現在のインターネットで最も広く使われている公開鍵暗号方式。「2048ビット」は鍵の長さを指す。インターネットバンキング、電子メール、デジタル証明書など、デジタルインフラの根幹を支えている。古典コンピュータでは事実上解読不能だが、量子コンピュータには原理的に脆弱である。

楕円曲線暗号（ECC）/ ECDLP-256
RSAよりも短い鍵長で同等の安全性を実現する暗号方式。BitcoinやEthereumなどの暗号通貨の電子署名に広く採用されている。「ECDLP-256」は256ビットの楕円曲線上の離散対数問題のことで、ECCの安全性の数学的根拠となっている。

ショアのアルゴリズム
1994年にピーター・ショアが考案した量子アルゴリズム。RSAやECCが依拠する素因数分解・離散対数問題を、古典コンピュータと比べて指数関数的に高速に解く。量子暗号脅威の根本的な原理であり、今回の3本の論文はいずれもこのアルゴリズムの実装効率を高める研究だ。

Toffoliゲート
量子回路における基本的な演算単位のひとつ。フォールトトレラント計算において最もコストのかかる操作であり、必要なToffoliゲートの数が計算時間の主な決定要因となる。今回のGoogle論文では、ECCの解読にはRSA-2048の約100分の1（7000〜9000万個）で足りることが示された。

フォールトトレラント量子計算
量子ビットはノイズに非常に弱く、すぐにエラーが生じる。誤り訂正技術を用いてエラーを検出・修正しながら計算を継続する方式を「フォールトトレラント（耐故障性）量子計算」という。大規模な暗号解読には、この方式が必須となる。

QLDPCコード（量子低密度パリティ検査符号）
従来主流だった「サーフェスコード」に代わる量子誤り訂正符号。量子ビット間の接続密度を上げることで、より少ない物理量子ビットで論理量子ビットを実現できる。Iceberg QuantumのPinnacleアーキテクチャはこの技術を核にしており、実験的なハードウェアでの実証はまだ途上にある。

オンスペンド攻撃
Bitcoin取引が送信されてからブロックに取り込まれるまでの約10分間、公開鍵が一時的に露出する。この間に量子コンピュータが秘密鍵を導出し、送金先を書き換える攻撃手法。Googleの試算では約9分で解読でき、成功確率は約41%とされている。

Harvest Now, Decrypt Later（今すぐ収集し、後で復号する）
現時点では解読できない暗号化通信を大量に記録・保存しておき、将来の量子コンピュータが実用化された際に遡って復号する攻撃戦略。国家レベルの攻撃者による実施が懸念されており、2030年代以降も機密性が必要なデータは「今すでに」リスクにさらされている。

耐量子暗号（PQC：Post-Quantum Cryptography）
量子コンピュータによる攻撃にも耐えられるよう設計された次世代暗号方式の総称。NISTは2024年8月にML-KEM・ML-DSA・SLH-DSAの3つを標準として確定した。現行暗号からこれらへの移行が、世界規模で急務とされている。

ゼロ知識証明（ZK Proof）
「ある事実が真であること」を、その詳細な情報（攻撃手順など）を一切開示せずに第三者が数学的に検証できる暗号技術。今回GoogleはSP1 zkVMとGroth16 SNARKを用いてリソース推定値を証明した。攻撃回路を公開せずに脆弱性を開示するという、前例のない責任ある開示手法として注目を集めている。

BIP 360
Bitcoin Improvement Proposal（Bitcoin改善提案）の第360番。BitcoinのアドレスをPQCに対応させるための技術仕様案。Starknetの創業者イーライ・ベン＝サッソンをはじめ、多くの関係者が今回の論文を受けてその実装加速を呼びかけている。

【参考リンク】

Google Quantum AI（外部）
Google量子コンピューティング研究部門の公式サイト。RSA・ECC解読論文2本の発表元で、研究ブログや成果報告も閲覧できる。

Iceberg Quantum（外部）
シドニー大学発の量子アーキテクチャ企業。10万量子ビット未満でRSA-2048解読を可能にするPinnacleアーキテクチャを発表した。

NIST 耐量子暗号プロジェクト（外部）
米国国立標準技術研究所によるPQC標準化の専用ページ。ML-KEM・ML-DSA・SLH-DSAの仕様書や移行ガイドを公開している。

Ethereum Foundation（外部）
Ethereumの開発・研究を支援する非営利組織の公式サイト。今回のGoogle論文の共著者ジャスティン・ドレイクが在籍している。

IonQ（外部）
トラップイオン方式の量子コンピュータを開発する米国上場企業。Iceberg QuantumのPinnacleと連携するハードウェア企業のひとつ。

【参考記事】

Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly（外部）
Google Quantum AI公式ブログ。ECC解読の試算根拠とゼロ知識証明による前例のない責任ある開示手法を詳しく解説している。

Pinnacle Architecture: 100,000 Qubits to Break RSA-2048, but at What Cost?（外部）
Pinnacle論文の技術的精査記事。QLDPCデコーダーの課題など「数字は減るが難しさは移る」という重要な視点を詳述している。

Quantum Breakthrough Slashes Qubit Needs for RSA-2048 Factoring（外部）
ギドニー2025年論文の詳細分析。Toffoliゲート数の変遷など計算資源に関する具体的な数値を丁寧に追っている。

‘No longer a drill’: Google’s latest quantum breakthrough sparks fresh debate over Bitcoin’s long-term security（外部）
The Blockによる業界反応の詳報。Dragonfly Capital・Ethereum Foundationなど各界の発言と市場・開発への影響を網羅。

‘Bitcoin cracked in 9 minutes’: BTC bulls scramble for post-quantum protection as Google drops bombshell paper（外部）
CoinDeskによる速報。9分解読・41%成功確率・約690万BTCのリスクなど具体的数字とTaproot導入後の脆弱性拡大を解説。

Iceberg Quantum Raises $6 Million Seed Round and Launches Pinnacle Architecture（外部）
Quantum Computing ReportによるPinnacle解説。技術的前提条件の明示と査読前プレプリントである旨を含む中立的な報道。