量子コンピュータがBitcoin（BTC）の中核暗号を脅かす可能性が現実味を帯びるなか、開発者コミュニティでネットワークの耐量子化に向けた議論が進んでいる。焦点となっているのは、公開鍵の露出を抑える仕組みや耐量子署名への移行など、4つの対策案だ。

ブロックチェーンメディアのCoinDeskが5日（現地時間）に報じたところによると、Googleは最近の研究で、十分な性能を持つ量子コンピュータが実現した場合、Bitcoinで使われている楕円曲線デジタル署名アルゴリズム（ECDSA）を9分以内に解読できる可能性があると分析した。これはBitcoinの平均ブロック生成時間である約10分を下回る。

現時点で、その水準の量子コンピュータは存在しない。ただ、脅威はもはや理論上の話にとどまらないとの見方が広がっており、業界の警戒感は強まっている。アナリストの一部は、こうした技術的転換点が早ければ2029年前後に訪れる可能性があるとみている。

リスクが顕在化した場合の影響も大きい。公開鍵が露出したアドレスには約650万BTCがあると推計され、この中にはBitcoinの創始者として知られるサトシ・ナカモトの初期保有分の一部も含まれるという。攻撃が成立すれば、公開鍵から秘密鍵を逆算して資産を奪うことが可能になり、Bitcoinの根幹であるコードへの信頼や不変性が揺らぎかねない。

問題の本質は、現在の暗号構造が一方向性を前提としている点にある。従来の計算環境では、公開鍵から秘密鍵を導き出すには事実上不可能なほどの時間がかかるが、量子コンピュータはその前提を覆す潜在力を持つ。特に、すでに公開鍵が露出しているアドレスは長期的に攻撃にさらされやすい。

公開鍵が露出する経路は大きく2つに分かれる。1つは、過去の取引方式によって公開鍵がオンチェーン上に残るケースだ。もう1つは、取引がブロックに取り込まれる前にメンプールに滞留する間、署名情報が外部から観測可能になるケースである。前者では初期のP2PKアドレスや一部のタップルート（P2TR）アドレスが対象になり得るとされ、特に古いP2PKアドレスだけで約170万BTCがあるとされる。

こうしたリスクを踏まえ、複数の対策が並行して検討されている。

第1は、公開鍵をオンチェーンに固定的に残さない仕組みへの移行だ。Bitcoin改善提案（BIP）360では、新たな出力方式「Pay-to-Merkle-Root（P2MR）」の導入を通じて、公開鍵の恒常的な露出を避ける方向性が示されている。ただし、主に新規に作られる資産の保護を想定したもので、既存アドレスの問題は別途対応が必要になる。

第2は、耐量子暗号への移行である。ハッシュベース署名方式のSPHINCS+は量子アルゴリズムに対する耐性が比較的高いとされ、次世代標準の有力候補に挙がっている。米国立標準技術研究所（NIST）はこれをFIPS 205として標準化した。一方で、署名サイズが従来方式より大きく、ブロック容量の圧迫や手数料負担の増加が課題となる。

第3は、取引処理の過程で生じる一時的な公開鍵露出を抑える手法だ。Commit-Reveal方式では、まず取引の意図だけをハッシュとして記録し、後から実際の取引内容を公開する。これにより、メンプール上で署名情報を悪用する攻撃を防ぐ狙いがある。仮に攻撃者が偽造取引を流しても、事前コミットの有無を照合することで排除できるという考え方だ。

第4は、すでに公開鍵が露出している資産の急激な流出を抑える仕組みである。1ブロック当たりの移動量を制限する「Hourglass V2」は、大量の資産が短期間で市場に流れ込む事態を遅らせることを狙う。ただ、資産移動の自由を制約しかねないため、コミュニティ内でも賛否が分かれている。

もっとも、これらの案はいずれも初期段階にある。Bitcoinのアップグレードには、開発者だけでなく、マイナーやノード運用者を含む幅広い合意が欠かせず、実装までには相応の時間を要する見通しだ。それでも今回の議論は、量子コンピュータの脅威が遠い未来の話ではなくなりつつあることを示すとともに、Bitcoinが次の技術的転換点に向かいつつあることを映し出している。