ビットコインの暗号解読は予想より早く実現、Googleが警告する根拠とは

　米Google（グーグル）が2026年3月下旬、量子コンピューターに関する興味深い発表を2つ行った。1つはビットコインなどの暗号資産（仮想通貨）が使う「楕円曲線暗号」は、従来の想定よりも少ない量子ビットで解読できるという研究だ。もう1つは中性原子方式の量子コンピューターの開発だ。実は両者には関係性もあるので、解説しよう。

　グーグルは2026年3月31日（米国時間）に「Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly」と題するリポートを公開した。その中で、楕円曲線暗号の基礎となる256ビットの楕円曲線離散対数問題（ECDLP-256）が、50万個未満の物理量子ビットを備えた超電導方式の誤り耐性量子コンピューターを使うならば、数分以内に解くことができるとした。

　グーグルは2021年に「2029年までに100万物理量子ビットを搭載した超電導方式の誤り耐性量子コンピューターを実現する」というロードマップを発表している。つまり2029年までに登場する量子コンピューターを使って楕円曲線暗号が解読できる可能性があるわけだ。

　グーグルは今回の発表の直前である2026年3月25日（同）に「Quantum frontiers may be closer than they appear」と題するブログを公開し、量子コンピューターでも解読できないポスト量子暗号（PQC）への移行を2029年までに完了するという目標を発表している。暗号解読が可能な量子コンピューターCRQC（Cryptographically Relevant Quantum Computer）の実現に備えてのことだ。

ビットコインの送金中に暗号を解読、取引を横取り

　グーグルは、CRQCが楕円曲線暗号を数分以内に解くことができれば、ビットコインの送金トランザクションが始まってから終わるまでの間に暗号化の秘密鍵を見つけ出して取引を横取りする「オンスペンド（On-Spend）攻撃」が可能になるとする。ビットコインの送金時には、ハッシュ化されていない「生」の公開鍵がネットワークに公開される。その公開鍵から秘密鍵を計算するのがオンスペンド攻撃だ。

　ビットコインの送金に要する平均約10分という時間は、Ethereum（イーサリアム）の送金に要する平均約12秒と比べると長い。そのためビットコインはとりわけオンスペンド攻撃に弱いとグーグルは見ている。

　グーグルによれば従来の研究では、楕円曲線暗号の解読に必要となる物理量子ビットの数は約900万個と見積もられていたという。今回の研究は、従来の見積もりに比べて約20分の1の物理量子ビットであっても楕円曲線暗号が解読できると示した。

　楕円曲線暗号はビットコインなどの仮想通貨で使われている暗号方式だ。一般的なアプリケーションでは暗号鍵の長さが2048ビットのRSA（RSA-2048）が使われている。グーグルは2025年5月に論文速報サイトのarXivで公開した論文「How to factor 2048 bit RSA integers with less than a million noisy qubits」で、RSA-2048について「100万個未満の物理量子ビットを使って1週間未満で解ける可能性がある」と示している。

　RSA-2048は楕円曲線暗号よりは「安全」と言えるが、やはり近い未来に登場する量子コンピューターで解読できる可能性がある。

さらに少ない量子ビット数でも解読可能か

　今回のグーグルが発表した楕円曲線暗号の解読についての見積もりは、同社が2024年に発表した量子プロセッサー「Willow」のハードウエア仕様に基づいている。Willowでは1個の物理量子ビットが隣接する他の4個の物理量子ビットと接続されている。物理量子ビット同士の接続数は「次数」と呼び、Willowは次数4（degree-four）である。

　実はこの次数が多くなると、より少ない物理量子ビットでも楕円曲線暗号の解読が実現できるという。例えば次数7の量子コンピューターであれば10万個の物理量子ビットで、次数10の量子コンピューターであれば10万個未満の物理量子ビットで楕円曲線暗号が解読できる可能性がある。

　ただし次数4の超電導量子コンピューターがWillowとして既に実現しているのに対して、次数7や次数10の超電導量子コンピューターはまだ存在しない。そのためグーグルは、50万個の物理量子ビットを備えた次数4の超電導量子コンピューターが楕円曲線暗号を解読するというシナリオが、最も早い段階で実現する可能性が高いと見ている。

中性原子量子コンピューターで「アットレスト攻撃」実現か

　物理量子ビットの数は、中性原子方式（冷却原子方式とも呼ばれる）の量子コンピューターの方が、超電導方式よりも増加が容易であると見られている。例えば中性原子量子コンピューターを開発する米QuEra Computing（クエラ・コンピューティング）は、2026年までに1万物理量子ビットを目指すというロードマップを示している。

• #量子コンピューター
• #ビットコイン
• #耐量子暗号