量子コンピュータはビットコインを殺さないが、本当のリスクが近づいている

原文タイトル：「I」Spent「200」Hours Reading Quantum Computing Papers So You Don't Have To. Bitcoin Is F.

原文出典：nvk

原文翻訳：Saoirse，Foresight News

TL;DR

· ビットコインは暗号を使用せず、デジタル署名を使用しています。ほとんどの論文はこの点を誤解しており、その違いは非常に重要です。

· 量子コンピュータは9分でビットコインを解読できません。この記述は理論上の回路に過ぎず、実際の機械は存在せず、少なくとも10年以内には現れません。

· 量子マイニングは物理的に完全に不可能です。それに必要なエネルギーは実際には太陽の総出力よりも多くなります。

· ビットコインは完全にアップグレード可能です------以前に成功したアップグレード（隔離証明、Taproot）もあり、関連作業も開始されています（BIP-360）。しかし、コミュニティは速度を上げる必要があります。

· アップグレードの真の理由は量子の脅威ではなく、従来の数学がすでに無数の暗号システムを破っているため、secp256k1は次のターゲットになる可能性が高いです。量子コンピュータは今までにどの暗号システムも破っていません。

· 確かに実際のリスクが存在します：約626万枚のビットコインの公開鍵がすでに露出しています。これはパニックを引き起こすべき事ではありませんが、事前に準備する価値があります。

核心主線

私がこれから言うことを一言でまとめると：

量子がビットコインに対する脅威は実際に存在しますが、まだ遠いです；メディアの報道は一般的に不正確で誇張されています；そして最も危険なのは量子コンピュータではなく、パニックや無関心の自己満足の心態です。

「ビットコインは終わった」と叫ぶ人も、「全く問題ない」と主張する人も間違っています。真実を見極めるには、二つのことを同時に受け入れる必要があります：

· ビットコインには今すぐ迫っている量子の脅威はなく、実際の脅威は見出しが宣伝するよりもはるかに遠い可能性があります。

· しかし、ビットコインコミュニティは依然として事前に準備する必要があります。なぜなら、アップグレードプロセス自体には数年の時間がかかるからです。

これはパニックの理由ではなく、行動の理由です。

以下にデータと論理で説明します。

この図は二つの主要な量子アルゴリズムを比較しています：ショアのアルゴリズム（左）は大数分解を指数関数的に加速し、RSA/ECCなどの公開鍵暗号を直接解読する「暗号殺し」であり、グローバーのアルゴリズム（右）は無秩序検索に平方根の加速をもたらす汎用量子加速器です。両者は量子計算の破壊的な性質を示していますが、現在はエラー訂正ハードウェアの制約により大規模に実現されていません。

メディアの手法：見出しが最大のリスク

数ヶ月ごとに同じシナリオが繰り返されます：

· ある量子計算研究所が厳密で多くの条件を伴う研究論文を発表します。

· テクノロジーメディアはすぐに「量子コンピュータが9分でビットコインを解読！」と書きます。

· 暗号界のツイッターは「ビットコインは終わった」と簡略化します。

· あなたの親戚や友人が急いで売るべきかとメッセージを送ります。

· しかし、原論文はそのようには言っていません。

2026年3月、Googleの量子AIチームは論文を発表し、ビットコインの楕円曲線暗号を解読するために必要な物理量子ビット数が50万以下に減少することができると指摘しました。これは確かに重要な研究です。Googleは非常に慎重で、実際の攻撃回路を公開せず、ゼロ知識証明のみを発表しました。

しかし、論文は決して「ビットコインは今すぐ解読できる、明確なタイムラインがある、または皆がパニックになるべきだ」とは言っていません。

見出しは「9分でビットコインを攻撃」と書かれています。

CoinMarketCapは「AI加速の量子計算は2026年にビットコインを破壊するか？」という記事を発表し、本文全体で答えはほぼ「ない」と説明しています。これは典型的な手法です：刺激的な見出しでトラフィックを集め、本文は慎重に正確さを保つ。しかし、59%のリンクは誰もクリックしません------ほとんどの人にとって、見出しが情報そのものである。

ある言葉が的を射ています：「市場はリスクの価格を非常に速く設定します。手に入れた瞬間にゼロになるものを盗むことはできません。」もし量子コンピュータが本当にすべてを覆すなら、Google自身（同様の暗号を使用している）の株価はとっくに崩壊しているはずです。しかし、Googleの株価は非常に安定しています。

結論：見出しこそが真の噂です。研究自体は真実で理解する価値があります。私たちは真剣に見ていきましょう。

量子コンピュータが本当に脅威となるもの、ならないもの

最大の誤解：「暗号」

ほとんどすべての量子とビットコインに関する記事は「暗号」という言葉を使っています。これは間違いであり、全体に影響を与えるほどの誤りです。

ビットコインは暗号によって資産を保護するのではなく、デジタル署名（ECDSA、後にTaprootを通じてSchnorrを使用）によって保護されています。ブロックチェーン自体は公開されており、すべての取引データは常に誰にでも見えるため、「解読」する必要があるものはありません。

ビットコインのホワイトペーパーで引用されたHashcashの発明者アダム・バックが言ったように：「暗号はデータが隠され、解読可能であることを意味します。ビットコインのセキュリティモデルは署名に基づいており、所有権を証明するために使用され、秘密鍵を露出させることはありません。」

これは文言を咬み砕くことではありません。これは、量子領域で最も差し迫った「今収集し、後で解読する」という脅威が、ビットコインの資産セキュリティには基本的に成立しないことを意味します。収集するための暗号化データは存在せず、露出した公開鍵は元々チェーン上で公開されています。

二つの量子アルゴリズム：一つは真の脅威、もう一つは無視できる

· ショアのアルゴリズム（真の脅威）：デジタル署名の基礎となる数学的問題に対して指数関数的な加速を提供し、公開鍵から秘密鍵を逆算し、取引署名を偽造することができます。これが本当に心配すべきことです。

· グローバーのアルゴリズム（脅威ではない）：SHA-256などのハッシュ関数に平方根の加速を提供します。聞こえは恐ろしいですが、計算すると全く現実的ではないことがわかります。

2025年の論文「カルダーショフスケールにおける量子計算とビットコインマイニング」は、ビットコインの現在の難易度において、量子マイニングには以下が必要であると計算しました：

· 約10²³個の物理量子ビット（現在、世界には約1500個しかありません）

· 約10²⁵ワットのエネルギー（太陽の総出力は約3.8×10²⁶ワットです）

量子コンピュータを使用してビットコインをマイニングするには、消費するエネルギーは太陽の総出力の約3%に相当します。人類は現在、0.73レベルのカルダーショフ文明に過ぎず、量子コンピュータを使用してマイニングするには、必要なエネルギーがあまりにも大きく、Ⅱ型文明でなければ実現できません。人類は今のところそれに達しておらず、物理的にほぼ不可能です。
（注：カルダーショフ文明のレベルに関連して：タイプI：惑星（地球）のエネルギーを完全に利用できる；タイプII：恒星（太陽）の全エネルギーを利用できる）

比較すると：最も理想的な設計でも、量子マイニングの計算能力は約13.8GH/sに過ぎません。一方、普通のAntminer S21は200TH/sに達することができます。従来のASICマイナーの速度は、量子マイナーの1.45万倍です。

要するに、量子マイニングは根本的に成立しません。今は不可能であり、50年後も不可能であり、さらには永遠に不可能です。もし誰かが量子コンピュータが「ビットコインマイニングを攻撃できる」と言ったら、それは二つの全く異なるアルゴリズムを混同していることになります。

流布されている8つの主張、そのうち7.5個は間違い

主張1：「量子コンピュータが現れたら、すべてのビットコインが一夜にして盗まれる」

事実は、公開鍵がすでに露出しているビットコインだけが安全リスクを抱えています。現代のビットコインアドレス（P2PKH、P2SH、隔離証明）は、送金を開始する前には公開鍵を公開しません。アドレスを再利用せず、そのアドレスから資産を転送したことがなければ、あなたの公開鍵はブロックチェーン上に表示されることはありません。

具体的な分類は以下の通りです：

· A級（直接的なリスクに直面）：約170万枚のBTCが古いP2PK形式を使用しており、公開鍵が完全に公開されています。

· B級（リスクは存在するが修正可能）：約520万枚のBTCが再利用アドレスおよびTaprootアドレスにあり、ユーザーは移行することでリスクを回避できます。

· C級（短期間の露出）：各取引がメモリプールでパッケージ化されるのを待つ約10分間、公開鍵が一時的に露出します。

Chaincode Labsの推定によれば、合計約626万枚のBTCが公開鍵露出のリスクを抱えており、総供給量の約30%--35%を占めています。数は確かに少なくありませんが、「すべてのビットコイン」ではありません。

主張2：「中本聡のコインが盗まれ、直接的に暴落する」

半分正しく半分間違っています：中本聡が保有する約110万枚のBTCはP2PK形式を使用しており、公開鍵が完全に露出しているため、確かに高リスクの資産です。しかし：

· これらの秘密鍵を解読できる量子コンピュータは現在存在しません。

· 早期の量子技術を掌握している国は、情報や軍事システムを優先的に狙うでしょう、「ビットコインを公然と盗む世論の騒動」を演じることはありません（量子キャナリア研究グループの言葉）。

· 現在の約1500個の量子ビットから数十万の規模に拡張するには、数年の工学的突破が必要であり、進捗は非常に不確実です。

主張3：「ビットコインはアップグレードできない------ペースが遅すぎ、ガバナンスが混乱している」

この主張は正しくありませんが、完全に無根拠でもありません。ビットコインの歴史では、すでに多くの重要なアップグレードが成功しています：

· 隔離証明（SegWit，2015--2017）：非常に議論が多く、ほぼ失敗し、ビットコインキャッシュのフォークを引き起こしましたが、最終的には成功しました。

· Taproot（2018--2021）：スムーズに実施され、提案からメインネットへのローンチまで約3.5年かかりました。

抗量子の主流方案BIP-360は2026年初頭に正式にビットコインBIPライブラリに追加され、bc1zアドレスタイプが新たに追加され、Taprootの量子攻撃に対して脆弱な鍵パス支出ロジックが削除されました。現在、この提案は草案の状態にあり、テストネットではDilithium後量子署名命令セットが稼働しています。

BIP-360の共著者イーサン・ヘイルマンは、完全なアップグレードサイクルは約7年かかると予測しています：2.5年の開発と審査、0.5年のアクティベーション、4年のエコシステム移行。彼は「これはあくまで粗い見積もりであり、誰も正確な時間を提供できない」と認めています。

客観的な結論：ビットコインはアップグレード可能であり、すでにアップグレードが開始されていますが、まだ初期段階にあり、進捗を加速する必要があります。「完全にアップグレード不可能」と主張するのは間違いであり、「すでにアップグレードが完了した」と主張するのも同様に成立しません。

主張4：「私たちは残り3--5年しかない」

大いに可能性が低いですが、完全に油断することもできません。専門家の予測は非常に幅があります：

· アダム・バック（Hashcashの発明者、ビットコインホワイトペーパーの引用者）：20--40年

· ジェンセン・ファン（NVIDIAのCEO）：実用的な量子コンピュータにはまだ15--30年かかる

· スコット・アーロンソン（テキサス大学オースティン校の量子計算の権威）：タイムラインを示すことを拒否し、RSAを解読するには「数十億ドルの投資が必要かもしれない」と述べています。

· クレイグ・ギドニー（Google量子AI）：2030年以前に実現する確率はわずか10%；同時に、現状の条件下で量子ビットの需要が10倍の最適化を再び達成するのは難しいと考えています。

· 26人の量子安全専門家の調査：10年以内にリスクが発生する確率は28%--49%

· アーク投資：「これは長期的なリスクであり、迫っているわけではない」

注目すべきは、Googleのウィロー・チップが2024年末に量子誤り訂正の閾値を突破したことです。これは、誤り訂正コードのレベルを一段階上げるごとに、論理エラー率が固定係数で低下することを意味します（ウィローは2.14）。この誤り抑制効果は指数関数的に向上しますが、実際の拡張速度はハードウェアに完全に依存し、対数的、線形的、または非常に遅い可能性があります。閾値を突破したことは拡張が実行可能であることを示すだけであり、迅速、容易、必然的に実現されることを意味するものではありません。

さらに、Googleは2026年3月の論文で実際の攻撃回路を公開せず、ゼロ知識証明のみを発表しました。スコット・アーロンソンも、将来の研究者がパスワードを解読するために必要なリソースの推定を公開しなくなる可能性があることを警告しています。したがって、「量子危機の日」の到来を早く察知することはできないかもしれません。

それでも、数十万の容錯量子ビットを持つコンピュータを構築することは依然として巨大な工学的挑戦です。現在の最先端の量子コンピュータは13桁以上の大数を分解することができず、ビットコインのパスワードを解読することは約1300桁の大数を分解することに相当します。このギャップは一夜にして埋まることはなく、技術のトレンドは無視するのではなく、重視する必要があります。

主張5--8：迅速な明確化

「量子計算はマイニングを破壊する」

間違い。エネルギー需要は太陽の総出力に近く、詳細は第二部を参照。

「今データを収集し、未来に解読する」

資産を盗むことには適用されず（ブロックチェーン自体が公開されているため）、プライバシーに対して一定の影響があり、二次的なリスクに属します。

「Googleが9分でビットコインを解読すると言った」

Googleが言っているのは、存在しない50万量子ビットのマシン上での理論的な回路の実行時間が約9分であるということです。Google自身はこのようなパニックの言説を明確に警告し、攻撃回路の詳細を隠しています。

「後量子暗号技術はまだ成熟していない」

アメリカ国立標準技術研究所（NIST）は、ML-KEM、ML-DSA、SLH-DSAなどのアルゴリズムの標準化を完了しています。アルゴリズム自体は成熟しており、難点はビットコインシステムに展開することにあり、ゼロから発明することではありません。

私が本当に懸念している5つの問題

すべてを否定するような反論記事は信頼性を失います。以下は私が深く懸念している5つの問題です：

· パスワードを解読するために必要な量子ビットの数の推定が継続的に減少していますが、この傾向は鈍化している可能性があります。2012年には、パスワードシステムを解読するために10億の量子ビットが必要とされていました；2019年には2000万に減少し；2025年には100万を下回りました。2026年初頭、Oratomic社は中性原子アーキテクチャを使用すれば1万の物理量子ビットで解読できると主張しました。

しかし注意すべきは、この研究の9人の著者はすべてOratomicの株主であり、彼らの推定の根拠となる101:1の物理量子ビットと論理量子ビットの変換比率は検証されていません（歴史的な実際の比率は10000:1に近いです）。

同様に明確にする必要があるのは、Googleの超伝導アーキテクチャ上で「9分」で完了する計算タスクが、中性原子ハードウェア上では10²⁶⁴日かかるということです------二者は全く異なるデバイスであり、計算速度は天と地の差があります。ギドニー自身も、アルゴリズムの最適化曲線がプラットフォーム期に入っている可能性があると述べています。それでも、誰も「必要な量子ビット数」と「現在の量子ビット数」の転換点がいつ来るかを知りません。最も客観的な結論は：現在、大きな不確実性が存在します。

· 公開鍵の露出範囲が縮小するのではなく、拡大しています。ビットコインの最新で最も広く普及しているアドレス形式であるTaprootは、調整された公開鍵をチェーン上で公開し、量子攻撃者に無限のオフライン解読ウィンドウを残します。ビットコインの最近のアップグレードは、逆に抗量子セキュリティを弱体化させました。この皮肉は考えさせられます。

さらに、問題はチェーン上のアドレスに限らず：ライトニングネットワークのチャネル、ハードウェアウォレットの接続、マルチシグネチャのスキーム、拡張公開鍵共有サービスなど、設計上で公開鍵を拡散させます。パスワード解読能力を持つ容錯量子コンピュータ（CRQC）が現実となる世界では、システム全体が公開鍵共有に基づいて構築されるため、「公開鍵のプライバシーを保護する」ことは全く現実的ではありません。BIP-360は第一歩に過ぎず、完全な解決策ではありません。

· ビットコインのガバナンスプロセスは遅いですが、まだ時間のウィンドウがあります。2021年11月以来、ビットコインの基盤プロトコルは4年以上ソフトフォークをアクティブにしておらず、長期間停滞しています。Googleは2029年に自社システムの抗量子移行を完了する計画であり、ビットコインの最も楽観的な予測でも2033年までかかります。

実用的なパスワード解読量子コンピュータが依然として非常に遠い可能性が高い（ほとんどの信頼できる予測は21世紀40年代まで、あるいは永遠に実現できないかもしれないと考えています）ため、現在は緊急の危機ではありませんが、だからといって自己満足してはいけません。準備作業が早く始まるほど、後の段階でより余裕を持つことができます。

· 中本聡が保有するビットコインは解決不可能なゲーム理論の問題です。約110万枚のBTCがP2PKアドレスに保管されており、対応する秘密鍵を持つ者がいない（または中本聡が消えた）ため、これらの資産は永遠に移動できません。放置する、凍結する、または破棄するという選択肢はすべて深刻な結果をもたらし、完璧な解決策は存在しません。

· ブロックチェーンは永久にロックされた攻撃対象リストです。すべての露出した公開鍵は永久に記録され、各国の機関は今すぐに準備を始め、機会を待つことができます。防御には多くの協力が必要ですが、攻撃には忍耐が必要です。

これらは実際に存在する課題ですが、別の側面にも注目する価値があります。

なぜ量子の脅威は非常に遠い可能性があり、永遠に来ないかもしれないのか

多くの真剣な物理学者や数学者（過激派ではない）が、パスワード解読規模に達する容錯量子計算は、物理学の根本的な障害に直面する可能性があると考えています。単なる工学的な技術的課題ではありません：

· レオニード・レビン（ボストン大学、NP完全性の共同提案者）：「量子振幅は小数点以下数百桁まで正確である必要がありますが、人類は十数桁以上の精度で成立する物理法則を発見したことがありません。」自然界が約12桁以上の精度を許さない場合、量子計算の全領域は物理的な天井にぶつかります。

· ミシェル・ダヤコノフ（モンペリエ大学、理論物理学者）：1000量子ビットのシステムは、約10³⁰⁰の連続パラメータを同時に制御する必要があり、その数は宇宙中の亜原子粒子の総数をはるかに超えます。彼の結論は：「不可能、永遠に不可能です。」

· ギル・カライ（ヘブライ大学、数学者）：量子ノイズには消去できない相関効果が存在し、システムの複雑さが増すにつれて悪化し、大規模な量子誤り訂正が根本的に実現できなくなります。彼の推測は20年経っても証明されていませんが、実験的な予測にも部分的な偏差が見られ、利点と欠点があります。

· ティム・パーマー（オックスフォード大学、物理学者）：彼の合理的な量子力学モデルは、量子もつれには約1000量子ビットの硬い上限が存在すると予測しており、パスワード解読に必要な規模を大きく下回ります。

これらはすべて辺縁的な見解ではありません。現在の証拠も明らかにこの判断を支持しています：これまでの実践は、パスワードシステムを脅かす量子計算は、現実には理論よりもはるかに実現が難しいか、物理世界の未知の法則によって根本的に不可能であることを示しています。自動運転に例えると非常に適切です：デモは素晴らしく、巨額の投資を引き付けますが、十年以上「あと5年で成熟する」と宣言し続けています。

ほとんどのメディアは「量子コンピュータは必ずパスワードを解読する、ただの時間の問題だ」と仮定していますが、これは証拠に基づく結論ではなく、炒作サイクルによって生み出された幻想です。

アップグレードの核心動機、量子とは無関係

これはあまり言及されない重要な事実です（@reardencodeに感謝）：

· 現在までに量子コンピュータによって解読されたパスワードシステム：0個；

· 古典的な数学的方法によって攻破されたパスワードシステム：数え切れないほど。

DES、MD5、SHA-1、RC4、SIKE、エニグマ機…… すべて巧妙な数学的分析によって破られましたが、量子ハードウェアによるものではありません。SIKEはアメリカ国立標準技術研究所（NIST）の後量子暗号の最終候補でしたが、2022年にある研究者が普通のノートパソコンで1時間以内に完全に破りました。暗号システムが存在して以来、古典的な暗号分析はさまざまな暗号方案を次々と覆してきました。

ビットコインが使用しているsecp256k1楕円曲線は、いつでも数学的な突破によって無効になる可能性があります。量子コンピュータは全く必要ありません。単に一人のトップレベルの数論学者が離散対数問題で新たな進展を遂げればよいのです。このようなことはまだ起こっていませんが、暗号学の歴史は「安全であると証明された」システムが常に脆弱性を見つけられてきた歴史です。

これがビットコインが代替暗号方案を採用すべき真の理由です：量子コンピュータがすぐに来るからではなく------それらは永遠に現れないかもしれないからです；しかし、数兆ドルの価値を持つネットワークにおいて、単一の暗号仮定に依存することは、厳密な工学的リスクを積極的に防ぐ必要があるからです。

量子に関連するパニックの炒作は、むしろこのより控えめで現実的なリスクを覆い隠しています。皮肉なことに、量子の脅威に対処するために行われた準備（BIP-360、後量子署名、ハッシュ類の代替方案）は、古典的な暗号分析攻撃にも耐えることができます。人々は間違った理由で正しいことをしましたが、それでも問題ありません------最終的に実施される限り。

あなたは一体どうすればいいのか？

もしあなたがビットコインを持っているなら：

· パニックになる必要はありません。脅威は実際に存在しますが、まだ遠いので、十分な時間があります。

· アドレスの再利用をやめてください。再利用するたびに公開鍵が露出しますので、受け取る際は新しいアドレスを使用してください。

· BIP-360の進捗を注視してください。抗量子アドレスが導入された後、迅速に資産を移動させてください。

· 長期保有する場合は、これまでに転送したことのないアドレスに資金を置くことで、公開鍵を隠したままにできます。

· 見出しに流されず、原著を読んでください。内容は報道よりも興味深く、そんなに恐ろしいものではありません。

もしあなたがビットコインの開発者なら：

· BIP-360はもっと多くの人にレビューされる必要があります。テストネットは稼働中で、コードの検証が急務です。

· 7年のアップグレードサイクルを短縮する必要があります。1年遅れるごとに、安全バッファが1分縮小します。

· 古い未使用取引出力（UTXO）に関するガバナンスの議論を開始してください。中本聡のビットコインは自動的に保護されることはなく、コミュニティが解決策を必要としています。

もしあなたが衝撃的な見出しを見たばかりなら：覚えておいてください、59%のリンクは誰もクリックしていません。見出しは感情を煽るためのものであり、論文は思考を引き起こすためのものです。原文を読みましょう。

結論

量子がビットコインに対する脅威は白黒はっきりしたものではなく、中間の領域が存在します。一方は「ビットコインは終わった、急いで清算せよ」、もう一方は「量子は詐欺、リスクは全くない」、この二つの極端はどちらも間違っています。

真実は理性的で実行可能な中間の領域にあります：ビットコインは明確な工学的課題に直面しており、パラメータは既知で、研究開発が進行中であり、時間は限られていますが制御可能です------前提はコミュニティが合理的な緊急感を維持することです。

最も危険なのは量子コンピュータではなく、パニックと無関心の間で揺れ動く世論のサイクルであり、人々が本質的に解決可能な問題を理性的に見ることを妨げています。

ビットコインはブロックサイズの争い、取引所のハッキング、規制の衝撃、創設者の消失を乗り越えてきたので、量子時代にも耐えられるでしょう。しかし、その前提はコミュニティが今から着実に準備し、パニックせず、無関心にならず、ビットコインの強力な工学的思考を進めることです。

家は燃えていないし、皆が心配している方向から燃え始めることは永遠にないかもしれません。しかし、暗号の仮定は決して永久に有効ではありません。暗号の基盤を強化する最良の時期は、危機が到来する前であり、後ではありません。

ビットコインは、未発生の脅威に対して事前に準備をしている人々によって構築されてきました。これは偏執ではなく、工学的思考です。

参考文献： 本文は二つの主要なテーマのウィキライブラリから合計66件の研究文献を参考にしており、内容は量子計算リソースの測定、ビットコインの脆弱性分析、デマ心理学およびコンテンツの伝播メカニズムの研究を含んでいます。核心資料の出典にはGoogle量子人工知能研究所（2026）、『カルダーショフスケールにおける量子マイニング』論文（2025）、BIP-360提案文書、バージェとミルクマンの研究（2012）、『2020デマハンドブック』、およびティム・アーバン、ダン・ルー、patio11などの業界実践者の論述が含まれています。完全なウィキ資料はオープンな同行評価が可能です。