なぜECDSAは量子コンピューターに対してそこまで脆弱なのですか?
ECDSAの安全性は「楕円曲線離散対数問題」の計算困難性から来ています。秘密鍵から公開鍵は算出できますが、古典的なコンピューターで逆の導出をするには宇宙の年齢をはるかに超える時間が必要です。ショアのアルゴリズムはこの前提を変えます——量子コンピューター上でこの種の離散対数問題を効率的に解けます。理論的には、十分大きく安定した量子コンピューターが存在すれば、公開鍵がオンチェーンにある任意のアカウントの秘密鍵が導出でき、資金が盗まれる可能性があります。これが「一度使用したアドレス」(公開鍵がオンチェーン)が、ハッシュ値のみ公開のアドレスより危険な理由です。
SPHINCS-マイナスの核心的なブレークスルーは何で、0.07ドルはどこから来ていますか?
最も重要な一手は、SPHINCS+標準のSHAKE256ハッシュ関数をEVMで安価なKeccak256に置き換えることです。これにより後量子署名の検証が完全にオンチェーンで実行でき、新たな低レベルサポートやネットワークアップグレードは一切不要です。論文のパラメータベンチマークによると、最適化されたSPHINCS-マイナスバリアント(SLH-DSA-Keccak-128-24)のオンチェーン検証コストは約94,000 gas、ラップトップ署名者向けに最適化された別バリアント(C13)は約127,000 gasで、現在のgas価格で約0.07ドルに相当します。この数字はETH価格とネットワーク混雑により変動しますが、桁の規模は「ほぼ無料」の領域に確実に入っています。
現在の量子コンピューターは実際にEthereumアカウントを破るまでどれほど遠いのですか?
まだ非常に遠く——しかし予想より速く縮まっています。4月の15ビット突破は、Ethereumが使う256ビットの問題より2の241乗倍簡単であり、既知のいかなる量子ハードウェアも近づいていません。Googleは完全な突破に50万個未満の物理量子ビットが必要と推定し、楽観的な研究では中性原子アーキテクチャで1万個まで下がる可能性を示します。今日の最高の量子コンピューターは数千〜数万の量子ビットを持ちますが、エラー率と安定性は必要なレベルにはるかに及びません。主流の推定では意味ある脅威は早くても2030年代初頭です。しかし移行に年月を要するため、「始めるのは今が最善」が業界の共通認識です。さらに重要なのは、理論的に必要なリソースの推定が数ヶ月で大幅に下方修正されており、Consignyが「橋渡し」と表現する理由もそこにあります。
Bitcoinも似た計画がありますか?暗号資産コミュニティ全体はこの脅威をどう見ていますか?
BitcoinにはBIP-360という後量子アドレスフォーマット導入の提案がありますが、議論は遅く争議も多く——Bitcoinの文化がプロトコル変更に極めて保守的なことも一因です。開発者のAdam Backは、後量子移行が意図せずサトシの保有コインの場所を明かす可能性があると指摘しています(初期のアドレス形式が異なり、公開鍵が露出している可能性があるため)。Tron、StarkWare、Rippleなども独自の後量子移行計画を持っています。Ethereumはより柔軟で、アカウント抽象化などのアップグレードロードマップが後量子移行を補助でき、SPHINCS-マイナスのような提案が正式なプロトコル層の解決策を待つ間に先行展開できます。大きな変化はコミュニティ全体に及んでいます。「量子脅威は遠い仮定」から「移行タイムラインを真剣に計画する」段階への転換です。0.07ドルという数字はコストだけでなく、緊迫感の転換を示しています。
すべてのEthereumウォレットは所有権の認証にECDSAを依存している。このアルゴリズムのセキュリティは「公開鍵から秘密鍵を導出することが計算上不可能」という前提に基づいているが、これは古典的コンピュータには当てはまるものの、Shorのアルゴリズムを実行する量子システムには該当しない。
2026年4月、研究者のGiancarlo Lelliが公開量子ハードウェア上で15ビットの楕円曲線鍵を破り、Project ElevenのQ-Day Prize(1 BTC)を獲得した。15ビットとEthereumの256ビットセキュリティの間には約2の241乗という難易度の差があるが、進行速度は懸念材料だ。2025年9月の6ビット破りから2026年4月の15ビット破りまでわずか6ヶ月で512倍の進歩を遂げている。
Googleの2026年4月の研究では、256ビットの完全解読に必要な物理qubitが50万個未満の可能性を示唆した。Caltechとoratomicによる別の推計では、中性原子アーキテクチャを使えば1万個程度で済む可能性があるとしている。
Ethereum Foundation研究者のNicolas Consginyは「SPHINCS-minus」を提案している。これはNISTが標準化した耐量子署名スキーム(SLH-DSA)であるSPHINCS+から派生したもので、EVMでネイティブに効率的なKeccak256を標準のSHAKE256ハッシュ関数の代わりに使用するという革新的アプローチを採用している。これにより、新しいprecompile、プロトコル変更、ハードフォークを必要とせずにオンチェーン検証が可能になる。
最適化されたパラメータセットでの検証コストは約94,000〜127,000 gasで、現在の価格で約0.07ドルに相当する。ConsginyはSPHINCS-minusを、ゼロ知識集約による更なるコスト削減を実現する「leanSPHINCS」への一時的な橋渡しとして位置づけている。この提案はVitalik ButerinとJustin Drakeの支持を受けた。
Glassnodeの分析によると、約192万 BTC(総供給量の約10%)が「構造的に安全でない」状態にあり、さらに412万 BTC(供給量の20.6%)が「運用上安全でない」——公開鍵が可視化されており量子解読に脆弱なアドレス——と分類されている。Ethereumも同一の楕円曲線暗号を使用しているため、同様のリスクにさらされている。
SPHINCS-minusは現時点では研究提案の段階にある。SHAKE256の代替使用がFIPS準拠に違反するため非標準だが、正式なプロトコルアップグレードを待つ間、既存アカウントへの低コストな量子耐性保護の探求に対するEthereumコミュニティの真剣な姿勢を示している。
脅威のタイムラインについては議論が続いている。悲観論者は2030年代初頭には意味のあるリスクが生じると警告し、保守的な推計では10年以上の準備時間があるとする。いずれにせよ、1アカウントあたり0.07ドルというコストは、普及に対する財務的障壁を事実上排除している。
本記事は情報提供のみを目的としており、金融アドバイスを構成しない。