「対暗号学に実際の脅威をもたらす量子コンピュータ」はいつ到来するのか？HNDL 攻撃はどのようなシナリオに適用されるのか？ビットコインが直面する独自の課題は何か？a16z が量子脅威がブロックチェーンにもたらす実際の影響と対応策を深堀りした。この記事は a16z の著作を元に、吳說區塊鏈が整理・翻訳・執筆したものである。
（前提：深掘り分析：我々は量子コンピュータによる暗号安全脅威を過度に恐れているのか？）
（背景補足：a16z：2026年暗号分野の17大潜在トレンド展望）

この記事目次

• 現在私たちはどのようなタイムポイントにいるのか？
• HNDL 攻撃はどのようなシナリオに適用されるのか（逆にどのシナリオには適用できないのか）？
• これがブロックチェーンに意味するものは何か
• ビットコインの特殊な課題：ガバナンスメカニズム + 放棄されたコイン
• ポスト量子署名のコストとリスク
• ブロックチェーン vs ネットワークインフラのユニークな課題
• 現在より深刻な問題：実装安全性
• どうすべきか？7つの推奨策
  • 1. 直ちにハイブリッド暗号を導入せよ
  • 2. 大きめの署名を許容できるシナリオでは直ちにハッシュ署名を採用せよ
  • 3. ブロックチェーンは後量子署名を慌てて導入する必要はない——ただし今から計画を始めよ
  • 4. プライバシー系ブロックチェーンは、性能が許す限り、移行を優先せよ
  • 5. まずは実装安全性に注力せよ——量子脅威の緩和よりも
  • 6. 量子計算の発展を支援せよ
  • 7. 量子計算に関するアナウンスには適切な視点を持て

「暗号学に対し実質的な脅威をもたらす量子コンピュータ」がいつ到来するのかについて、多くの人は誇張した時間予測を行い——これが即時かつ大規模なポスト量子暗号体系への移行を求める声を引き起こしている。

しかしながら、これらの声は早すぎる移行のコストとリスクを見過ごしており、また、さまざまな暗号 primitive が直面するリスク像も全く異なることを無視している。

ポスト量子暗号はコストが高くとも、即座に導入すべきである：「収集したデータを後で解読」（Harvest-now-decrypt-later、HNDL）攻撃は既に進行中であり、量子コンピュータが実現したとき、たとえそれが数十年後であっても、今日暗号で保護された敏感情報は価値を持ち続けるからだ。後量子暗号は性能上の負担と実装リスクを伴うが、長期的な秘密保持を必要とする情報にとっては、HNDL 攻撃は避けられない。

一方、後量子署名については全く異なる観点が必要だ。これは HNDL 攻撃の影響を受けず、そのコストとリスク（大きな署名サイズ、性能負担、未成熟な実装、潜在的な脆弱性）は、慎重な段階的移行が望ましく、即時導入すべきではない。

これらの区別は極めて重要である。誤解はコストと利益の分析を歪め、チームがより重要な安全リスク——例えば脆弱性そのもの——を見落とす原因となる。

ポスト量子暗号体系への真の移行の課題は、「緊急性」と「実際の脅威」を一致させることである。以下では、量子脅威とそれが暗号学——暗号化、署名、ゼロ知識証明を含む——に与える影響に関わる誤解を解き、これらの問題がブロックチェーンに与える影響に焦点を当てる。

現在私たちはどのようなタイムポイントにいるのか？

2020年代に「実質的な脅威をもたらす量子コンピュータ（CRQC）」の可能性は極めて低く、いくつかの誇張された主張もあるものの、実現には遠いと考えられている。

ps：実質的な暗号学的脅威をもたらす量子コンピュータ / cryptographically relevant quantum computer（CRQC）という用語は、以降は略して CRQC と表記する。

ここでいう「実質的な脅威をもたらす量子コンピュータ」とは、誤り訂正された量子ビットを持ち、Shor のアルゴリズムを十分に稼働させられる規模の量子コンピュータを指す。これは、合理的な時間内に楕円曲線暗号や RSA（例：secp256k1 や RSA-2048）を攻撃可能なものである。

公開されたマイルストーンやリソース評価によると、そのような量子コンピュータはまだ遠い未来の話だ。2030年や2035年に出現する可能性を唱える企業もあるが、公開情報に基づく進展はこれを支持しない。

現状、イオントラップ、超伝導量子ビット、中性原子系のいずれも、Shor のアルゴリズムをRSA-2048やsecp256k1に対して動かすのに必要な数十万〜数百万個の物理量子ビットには遠く及ばない（具体的な数は誤差率やエラー訂正方式に依存する）。

制約は単に量子ビット数だけでなく、ゲートの忠実度、量子ビット間の通信性、深い量子回路を実行し続けるためのエラー訂正回路の持続性など複合的である。現状、1000個以上の物理量子ビットを持つシステムもあるが、その数だけで判断すると誤りを生じやすい。これらのシステムは暗号計算に必要な通信性やゲート忠実度に欠けている。

最近のシステムは、エラー訂正のための物理誤差レベルには近付いているが、まだ少数の論理量子ビット（深いエラー訂正回路を持つもの）すら実証されていない。何千個もの高忠実度、深い回路、誤り耐性を持つ論理量子ビットを動かすには、理論的には巨大なギャップがある。

要するに、量子ビット数と忠実度が同時に数桁向上しない限り、「実質的な脅威をもたらす量子コンピュータ」は遠い未来の話である。

ただし、企業のプレスリリースやメディアの報道は誤解を生む危険性が高い。よくある誤解は以下の通り：

「量子優位」を示すデモと謳われるが、これらはしばしば人為的な問題を対象としている。これらの問題は実用的なものではなく、既存のハードウェア上で動作し、顕著な量子加速を示すように見えるため、宣伝では意図的に軽視されがち。

企業が「数千個の物理量子ビット」を実現したと主張する場合、多くは量子アニーリングマシンを指し、Shor のアルゴリズムを動かすためのゲートモデルの量子コンピュータではない。

「論理量子ビット」の概念を無造作に扱っている例も多い。物理量子ビットはノイズに満ちており、Shor のアルゴリズムには論理量子ビットが必要だ。前述の通り、数千の論理量子ビットを必要とする。エラー訂正を用いると、一つの論理量子ビットは何百から何千もの物理量子ビットから構成される（誤差率に依存）。しかし、ある企業は最近、距離2の符号化により、論理ビットあたり2つの物理ビットだけで48個の論理量子ビットを実現したと主張しているが、これは明らかに誤り。距離2の符号は誤り検出しかできず、誤り訂正はできないからだ。実際の暗号破解に用いるためには、何百から何千の物理ビットを用いた誤り耐性のある論理量子ビットが必要である。

また、より一般的に、多くの量子計算のロードマップでは、「論理量子ビット」をClifford演算のみをサポートする量子ビットと誤解しているものもある。これらは古典的なシミュレーションが効率的に可能なため、Shor のアルゴリズムの実行には不十分である。Shor には何千もの誤り訂正された T ゲート（非Cliffordゲート）が必要だ。

したがって、「ある年 X に千個以上の論理量子ビットに到達」と謳うロードマップも、それだけでその年に Shor のアルゴリズムを実行できると誤解させる危険がある。

これらの誤解は、「我々は実質的に CRQC にどれだけ近いのか」という認識を歪めている。

それにもかかわらず、進展に明るい見解を持つ専門家もいる。例えば Scott Aaronson は最近、「現状のハードウェアの発展は驚くほど速く、次の米大統領選までに、誤り訂正された Shor のアルゴリズムを動かせる量子コンピュータが実現する可能性はある」と述べている。

ただし、彼の見解は「暗号学に実質的な能力を持つ量子コンピュータ」を意味しているわけではなく、単に15を素因数分解できる量子コンピュータ（15=3×5は紙とペンでも容易に計算可能）を指している。つまり、規模はごく小さく、実用的な暗号破壊には全く役立たない。

要するに、2030年までにRSA-2048やsecp256k1を破る量子コンピュータが登場するという証拠はなく、10年規模の予測も依然として楽観的すぎる。私たちと本当に暗号学的に関係する量子コンピュータとの距離は非常に遠いため、これらの進展に興奮しつつも、十年以上のスケジュールと両立できる。

では、米国政府が2035年をポスト量子暗号体系への移行の目標年とした意味は何か？私は、それは大規模な移行を完了するための妥当な時間枠だと考える。ただし、これは「CRQC がその時点で出現する」という予測ではない。

HNDL 攻撃はどのようなシナリオに適用されるのか（また逆にどのシナリオに適さないのか）？

「収集して後 decrypt」（Harvest now, decrypt later、HNDL）攻撃は、攻撃者が今すべての暗号通信を保存し、将来「実質的な脅威をもたらす量子コンピュータ」が出現したときに解読することを狙うものである。国家レベルの攻撃者はすでに米国政府の通信を大規模に保存し、将来の量子コンピュータ出現に備えていることは明白だ。だからこそ、暗号体系は今日から移行すべきだ——少なくとも10年以上の秘密保持を必要とする主体にとって。

しかしながら、デジタル署名——すべてのブロックチェーンが依存する技術——は、暗号と異なり、秘密性のある情報ではないため、「後から攻撃される」可能性はない。

つまり、量子コンピュータが実現した瞬間からデジタル署名の偽造が可能になるが、過去の署名は秘密情報を隠すものではない。署名がCRQC以前に生成されたことさえ確認できれば、それは偽造ではあり得ない。

したがって、暗号体系に比べ、ポスト量子署名の移行は急務ではない。

主要なプラットフォームの動きもこれを反映している：ChromeやCloudflareはWeb通信のTLS暗号にハイブリッドX25519+ML-KEMを展開している。[本文中、読みやすさのために「暗号方式」と表記しているが、厳密にはTLSなどの安全通信プロトコルは公開鍵交換や鍵封止機構を用いており、公開鍵暗号をそのまま使っているわけではない。]

ここでの「ハイブリッド」とは、ポスト量子安全のML-KEMと既存のX25519を併用し、両者の安全性を同時に確保する方式を指す。これにより、ML-KEMが後量子耐性を持つと証明されていない場合でも、X25519が従来の安全性を提供し続けることを期待している。

AppleのiMessageもPQ3プロトコルに類似のハイブリッド後量子暗号を導入済み、SignalもPQXDHやSPQRプロトコルにこの仕組みを実現している。

一方、重要なWebインフラのポスト量子デジタル署名の移行は、「実際にCRQCが出現するタイミング」を待ってから開始される見込みだ。これは、現状のポスト量子署名方式が明らかに性能低下を伴うため（後述）、それを待つのが妥当とされている。

zkSNARKs——ゼロ知識・コンパクト・非対話型の証明論理は、ブロックチェーンの未来のスケーラビリティとプライバシーの核心技術だが、量子脅威に関しても署名に類似している。理由は、いくつかのzkSNARKは、現行の暗号と署名と同じ楕円曲線暗号を用いているため、ポスト量子安全性を保証しないが、その「ゼロ知識」特性は、量子攻撃に対しても安全性を維持できる。

ゼロ知識性は、証明が秘密の witness に関する情報を漏らさないことを保証するため——たとえ量子攻撃者に対しても——秘密情報の事前収集や後解読のリスクは存在しない。

したがって、zkSNARKsはHNDL攻撃の影響を受けない。今日生成された非ポスト量子署名と同様に、CRQC以前に生成されたzkSNARK証明は信用できる（証明の主張は真であると保証されている）——楕円曲線暗号を用いていても。CRQC出現後に攻撃者が「見せかけの正当な証明」を作り出すことは可能になる。

これがブロックチェーンに意味するものは何か

多くのブロックチェーンはHNDL攻撃にさらされない：非プライバシー型のチェーン——例えば今日のビットコインやイーサリアム——は、認証に非ポスト量子の署名を用いているためだ。つまり、暗号化ではなく署名を使用している。

再び強調するが、署名はHNDL攻撃の対象にならない：「収集して後 decrypt」攻撃は暗号化データにしか適用されない。例えば、ビットコインのブロックチェーンは公開されている。量子脅威は署名の偽造（秘密鍵推定による資金盗用）にあり、すでに公開された取引データの解読には関係ない。つまり、HNDL攻撃は現状のブロックチェーンには即時の暗号学的緊迫性をもたらさない。

残念ながら、一部の信頼できる機関（米連邦準備制度など）は誤ってビットコインもHNDLに脆弱だと分析しているが、これは誤解を招く。これにより、ポスト量子暗号への移行の緊急性が過大評価されてしまう。

ただし、「緊急性は低減した」といっても、ビットコインは無限に待てるわけではない：協定のアップグレードに必要な社会的調整の大きさから、時間的な制約が存在する。（以下、ビットコインの特殊な課題についてより詳細に議論する。）

現状唯一の例外はプライバシー系コインだ。これらは暗号化やその他の方法で受取人や金額を隠すため、潜在的にHNDLにさらされている。特に、公開された帳簿だけで匿名化が可能なコインはリスクが高い。混合方式（ポスト量子 + 従来暗号）を採用し、ポスト量子方案の脆弱性も考慮した設計が望ましい。

ビットコインの特殊な課題：ガバナンスと放棄コイン

ビットコインにとって、後量子署名への移行を急ぐ必要がある現実的な要因が二つある——これらは量子技術そのものに由来するものではない。第一はガバナンスの遅さ：ビットコインの進化は非常に遅い。問題が争点化した場合、コミュニティが適切な解決策に合意できないと、壊滅的なハードフォークを引き起こす可能性がある。

第二は、ビットコインは後量子署名に切り替えるには、放置されたコインも含めて能動的に移行させる必要があることだ。これにより、すでに放棄された、しかし量子脆弱性にさらされたコインは保護されない。推定によれば、量子脆弱で放棄されたBTCは数百万枚に達し、その価値は2025年12月時点で数千億ドルにのぼる。

ただし、量子脅威によるビットコインの「一夜にして崩壊」は起こり得ず、むしろ選択的に段階的に進む攻撃になる。量子コンピュータは一気にすべての暗号を破るわけではなく、Shor のアルゴリズムは対象となる公開鍵を一つずつ破る必要がある。早期の攻撃コストは非常に高く、遅いため、最も価値の高いアドレスから攻撃されるだろう。

また、ユーザがアドレスの再利用を避け、Taprootアドレス（公開鍵が直接公開される仕組み）を使わなければ、協定自体が未だアップグレードされていなくとも、攻撃はある程度回避できる。公開鍵はトランザクション発行前にハッシュ化されており、そのため、公開鍵が露出するのは最終的な支出時だけだ。最終的に公開されたときに一瞬、私的鍵を見つける時間的な「競争局面」が生まれる。善良なユーザは早めに取引を確認させようとし、量子攻撃者はその前に秘密鍵を見つけて資金を奪おうと試みる。したがって、最も脆弱なコインは、公開鍵が長期間露出していたもの——例えば、初期のP2PK出力や、アドレスの再利用、Taprootを長く持ち続けたもの——である。

放棄された脆弱なコインについては、現状、簡単な解決策はない。選択肢としては：

ビットコインのコミュニティがコンセンサスを得て、「旗日」（flag day）を設定し、その日以降に未移行のコインを破棄扱いにする。

放置されたコインや、量子リスクにさらされたコインを誰でも奪取できる状態にしておく。

この第二案は、法的・安全性の観点から問題が多い。量子コンピュータを用いて私鍵なしに資産を奪取する行為は、多くの法域では窃盗や詐欺に該当しうる。

また、「放置された」状態も、あくまで仮定の話であり、実際にこれらのコインの秘密鍵が失われているかどうかは、誰にも確証できない。たとえ所有者がかつて所持していたことを証明できても、その権利を破壊して資産を回収することは法的に認められない可能性が高い。こうした法的な曖昧さも、放置されたコインが悪意ある攻撃者の手に渡るリスクを高める。

また、ビットコインのもう一つの特殊な問題は、その非常に低い取引スループットだ。放置されたコインを後から安全に移行するには、数ヶ月の時間を要することもある。

これらの課題から、今後も引き続き後量子遷移の計画を立てていく必要がある。理由は2030年以前にCRQCが出現する可能性が高いからではなく、社会的調整・合意形成・技術的実装に時間がかかるためだ。

量子脅威は実在するが、その時間的プレッシャーはビットコインの構造的制約からきている。その他のブロックチェーンも量子脆弱な資金の問題に直面しているが、ビットコインは特に顕著である。最も古い取引はpay-to-public-key (P2PK)出力のままであり、公開鍵が直接公開されているため、かなりのBTCが量子脅威に曝されている。歴史的な技術、長期にわたるチェーンの成熟度、高い価値集中、低スループット、ガバナンスの硬直性なども、問題をより深刻にしている。

ただし、これらの脆弱性はあくまでビットコインの署名の暗号安全性に関わるものであり、経済的安全性とは異なる。ビットコインの経済的安全性はProof of Work（PoW）に基づいており、これも署名方式ほど簡単に量子攻撃を受けるわけではない。その理由は：

PoWはハッシュ関数に依存しており、Grover のアルゴリズムによる二乗の高速化の影響だけ受け、Shor のアルゴリズムにより指数的な高速化は起きない。

Grover の探索の実効コストは非常に大きく、量子コンピュータがPoWに少しの速度向上をもたらすだけでも、現実的にはほとんど意味がない。

たとえ量子コンピュータが明らかに加速したとしても、その効果は大規模マイナーが相対的に有利になるだけであり、ビットコインの経済的安全性の根幹を揺るがすものではない。

( 後量子署名のコストとリスク

ブロックチェーンで後量子署名を慌てて導入すべきではない理由は、性能コストと後量子安全性に対する信頼の変遷を同時に考慮しなければならないからだ。

多くの後量子暗号 primitive は、以下の5つの方法に依存している：ハッシュ（hashing）、符号（誤り訂正符号）、格子（lattices）、多変数二次方程式（MQ）、アイソジニー（isogenies）。

なぜ5つの方法があるのか？それは、いかなる後量子 primitive も、量子コンピュータが特定の数学問題を高速に解けないという仮定に基づいているからだ。問題の構造が「強い」ほど、効率的な暗号方式を構築できる。

しかし、これは両刃の剣でもある。構造が強いほど攻撃の対象も増え、アルゴリズムが突破されやすくなる。これにより、根本的な緊張関係が生まれる——より強い仮定は効率を向上させるが、その分安全性のリスク（仮定が誤りである可能性）が高まる。

総じて、安全性の観点から最も保守的で堅実なのは、ハッシュに基づく方式である。理由は、量子コンピュータがこれらを高速に攻撃できないと最も確信できるからだ。ただし、その性能は最も劣る。例えば、NISTの標準化されたハッシュ署名方案は、最小パラメータ設定でも署名サイズが7〜8 KBに及ぶ。対して、現行の楕円曲線署名は64バイト程度であり、約100倍小さい。

格子系の方案が最も注目されている。NISTが選定した唯一の暗号方案と、その中の2つの署名アルゴリズム（DilithiumとFalcon）は、いずれも格子に基づく。Dilithiumは128-bit安全レベルで署名サイズが2.4 KB、256-bit安全レベルでは4.6 KB（楕円署名の40〜70倍）。Falconはより小さく、Falcon-512は666バイト、Falcon-1024は1.3 KBだが、複雑な浮動小数点演算に依存し、実装面での難しさが指摘されている。多くの側面から、格子署名は現実的な選択肢だが、その安全性と性能のトレードオフは継続的に検討される必要がある。

実装安全性の観点では、格子署名は楕円曲線方案よりも格段に困難だ。ML-DSA（Dilithium）は多くの中間値や拒否サンプルの複雑さを伴い、サイドチャネル・故障攻撃に対する防御が求められる。Falconは一定時間の演算の複雑性を増し、既に側チャネル攻撃により秘密鍵の抽出例も報告されている。

これらのリスクは即時に存在し、遠い未来の「実質的な脅威」ではない。性能向上に伴う慎重な採用が望ましい。歴史的に、RainbowやSIKE/SIDHなども、標準化が進むにつれ脆弱性が明らかになった事例もある。

インターネットインフラの移行も同様に遅々として進まず、MD5やSHA-1の廃止からも長年経っており、未だに一部残存している。これらは破られた暗号ではなく、「破られる可能性がある」だけのものだ。

) ブロックチェーン vs ネットワークインフラのユニークな課題

幸いにして、オープンソースのブロックチェーン（EthereumやSolanaなど）は、伝統的なインフラよりも高速にアップグレードしやすい。一方、インフラは頻繁な鍵ローテーションにより、量子の追随はブロックチェーンよりも早い。なぜなら、資産や鍵は無制限に露出し続ける可能性があるからだ。しかし、全体としては、ブロックチェーンもインフラと似た慎重な移行を推進すべきであり、早すぎる導入は性能・安全性双方にリスクをもたらす。

さらに、ブロックチェーンには、署名の高速集約を求める特殊な要件がある。例えば、BLS署名は高効率な集約能力で人気だが、これらはポスト量子安全ではない。SNARKに基づく署名集約の研究も進行中だが、まだ初期段階である。

今より深刻な問題：実装安全性

今後数年、実装の脆弱性は「本当に脅威となる量子コンピュータ」よりもはるかに深刻で現実的なリスクとなる。特に、SNARKや後量子署名の複雑さは、多くの脆弱性と側チャネル・故障攻撃のリスクを伴う。現実のシステムにおいて、秘密鍵を盗む攻撃は頻繁に成功しており、これらは長期にわたる安全性を脅かす。

コミュニティは、今後も脆弱性の発見と修正を継続し、後量子署名の堅牢化を進める必要がある。早すぎる移行は、次なるより良い方案の登場や、既存方案の重大な実装脆弱性の露呈により、再度の移行を余儀なくされるリスクを伴う。

どうすべきか？7つの提案

これまでの議論を踏まえ、さまざまな関係者——開発者から政策立案者まで——に向けて、以下の提言を行う。基本的な原則は、「量子脅威を真剣に捉えるが、『2030年前に実質的脅威の出現』を前提にした行動は取らないこと」。現状の進展はその前提を支持していない。だが、今からできることは多く、着手すべきだ。

1. 直ちにハイブリッド暗号を導入せよ

少なくとも、長期的な秘密保持が重要で性能コストが許容できるシナリオにおいて。ブラウザやCDN、メッセージアプリ（iMessageやSignalなど）は既にハイブリッド方式を展開している。ハイブリッドは、ポスト量子 + 従来暗号の併用であり、HNDL攻撃に対抗しつつ、後量子方案の未成熟さによるリスクも軽減できる。

2. 大きめの署名を許容できるシナリオでは直ちにハッシュ署名を採用せよ

ソフトウェア／ファームウェアの更新など、低頻度・サイズに寛容なケースでは、即座にハイブリッドハッシュ署名を採用すべきだ（混合方式は、新方案の実装脆弱性をカバーするためで、ハッシュの安全性に疑問があるわけではない）。これにより、量子コンピュータの突然の出現に備える明確な「救命胴衣」が提供される。既に展開している後量子署名のアップデート手段がなければ、CRQC出現後の安全な暗号更新の配信は困難となる。

3. ブロックチェーンは慌てて後量子署名を導入しなくてもよい——ただし今から計画を始めるべき

Web PKI の経験から学び、慎重に後量子署名を導入する段階的計画を立てること。これにより、安全性と性能の理解が深まり、システムの再設計や署名のサイズ拡大、署名集約技術の開発に時間がかかる。ビットコインなどのレイヤー1は、移行ルートと放棄資産のポリシー策定が不可欠。被放置資産は安全に移行できず、長期的にリスクを抱える。

同時に、後量子 zkSNARKや署名集約の技術も成熟させる必要がある。早急な移行は、次の優良方案登場や、既存の重大な実装脆弱性の露呈を招きかねない。

また、Ethereumのアカウントモデルに関しても、EOA（Externally Owned Account：秘密鍵制御）とスマートコントラクトアカウントは、後量子対応に向けて異なる対策が必要だ。アップグレード可能