流通供給量の約3割に相当する約64.7兆円が、量子攻撃の脅威にさらされている
BIP 360のタイミングが重要である理由を理解するには、実際にどれだけが危険にさらされているのか、その規模を知ることが助けになる。2025年10月のHuman Rights Foundation(HRF)の報告書は、Presidio Bitcoin Quantum Summitで提示された6か月にわたる専門家の議論と分析を踏まえ、脆弱性を具体的な数字で示した。
初期アドレスに保管されている約17.9兆円相当のビットコインは、長期的な攻撃に対して非常に脆弱
HRF報告書によれば、初期のアドレス形式にある約172万ビットコイン(BTC)──現在価格で1150億ドル(約17.9兆円)超──は、長期的な量子攻撃に対して高い脆弱性を持つとされている。これらの多くは休眠状態、または紛失している可能性が高い。さらに449万ビットコイン(約3000億ドル。約46.8兆円相当)も長期的攻撃に対して脆弱だが、保有者が量子安全なアドレス形式に移行すれば資産を守れる。
つまり、量子による露出に何らかの形でさらされるビットコインは合計で4150億ドル(約64.7兆円)超に上る。この数字は、価値ベースでビットコインの流通供給量全体の約31%に相当する。
HRF報告書はまた、「焼却か窃盗か(burn or steal)」というジレンマも提起した。休眠中の初期フォーマットのアドレスが移行する前に量子コンピューターが実用化された場合、ビットコインはそれらのコインを(焼却して)永久に使えなくし窃盗を防ぐべきか、それとも攻撃者による略奪を許容すべきか。この問いはビットコイン哲学の根幹である「保有資産の不変性」に関わるものであり、いまだ結論は出ていない。
量子ビットを巡る見積もりの改善が進み、脅威の到来が想定より早まる可能性
量子コンピューティングの脅威は、「不可能なほど遠い将来」という意味で理論上の話ではない。問題は、暗号学的に意味のある量子コンピューター(cryptographically relevant quantum computer:CRQC)に達する計算能力の閾値だ。すなわち、ショアのアルゴリズムを、ビットコインの楕円曲線暗号を破るのに必要な規模で実行できる装置である。そして、踏むべき手続きの性質上、CRQCはビットコインコミュニティが対応できるより速く到来し得る。
量子ビット(qubit)を巡る見積もりは改善を続けている。River Financialの技術分析は、ビットコインのECDSAおよびシュノア(Schnorr)署名方式が、大きな数を因数分解することの困難さに依存しており、これはショアのアルゴリズムが加速するために設計された問題クラスだと説明する。5年前、研究者は2048ビットRSA暗号を破るには数千万の物理量子ビット(physical qubits)が必要だと見積もっていた。グーグルは2025年にこの見積もりを90万量子ビットへ下方修正した。最近のプレプリント論文「The Pinnacle Architecture」は、閾値が10万未満の物理量子ビットまで下がる可能性を示唆した。
ビットコインに限れば、必要水準はさらに低い。量子コンピューティング研究者で、StarkWareの科学顧問でもあるスコット・アーロンソン(Scott Aaronson)が指摘したように、ビットコインは2048ビットRSA鍵ではなく256ビットの楕円曲線鍵を用いる。ショアのアルゴリズムは主として鍵長に依存するため、ビットコインの暗号はRSAより先に脆弱化する可能性が高い。
「この問題を考え始める時期は今です。昨日ならもっと良かったでしょう」とアーロンソンはDL Newsに語った。カリフォルニア工科大学の学長トーマス・ローゼンバウムは最近、機能するフォールトトレラント(誤り耐性)量子コンピューターが5〜7年以内に到来し得ると見積もった。アーロンソンは、次の米大統領選挙より前に起きる可能性があるとも示唆している。
各国政府は学術的な合意を待たず──米国国防総省、システムの量子対応に期限を設定
各国政府は学術的な合意を待ってはいない。米国連邦政府はECDSA暗号の段階的廃止を2035年までに義務付けた。NSA(国家安全保障局)のCNSA 2.0フレームワークは、重要インフラ全体で量子安全なシステムを2030年までに導入するよう求めている。米国国防総省は、自省のシステムを量子対応にする内部期限を2030年12月31日に設定した。
