「対暗号学に実質的な脅威をもたらす量子コンピュータ」いつ到来？HNDL 攻撃はどのような場面に適用できるか？ビットコインはどのようなユニークな挑戦に直面しているか？a16z が量子脅威がブロックチェーンに与える実際の影響と対応戦略について深く解説した。この記事は a16z のオリジナル記事をもとに、吳說區塊鏈が整理・翻訳・執筆したものである。
（前提：深堀分析：私たちは量子コンピュータによる暗号安全脅威を過度に恐れているのか？）
（背景補足：a16z：2026年暗号分野の17大潜在トレンド展望）

本文目次

• 現在我々はどのような時間点にいるのか？
• HNDL 攻撃はどのような場面に適用できるか（また、適用できない場面は何か）？
• これがブロックチェーンに意味すること
• ビットコインの特有の難題：ガバナンスメカニズム + 放棄されたコイン
• ポスト量子署名のコストとリスク
• ブロックチェーン vs ネットワークインフラのユニークな課題
• 現在より深刻な問題：実装の安全性
• どうすべきか？7つの提言
  • 1. 直ちにハイブリッド暗号を導入せよ
  • 2. 大容量の署名を許容できる場面では即座にハッシュ署名を採用せよ
  • 3. ブロックチェーンは急いでポスト量子署名を導入する必要はない――しかし今から計画すべき
  • 4. プライバシーコインについては、パフォーマンスが許す限り、移行を優先せよ
  • 5. 近い将来は実装の安全性に重点を置き、量子脅威緩和は後回し
  • 6. 量子計算の発展を支援せよ
  • 7. 量子計算に関するアナウンスには正しい視点を持て

「現状の暗号体系に実質的な脅威をもたらす量子コンピュータ（CRQC）」の到来時期について、人々はしばしば誇大な予測をし――結果として即時かつ大規模なポスト量子暗号体系への移行要求を生み出している。

しかしこれらの要求は、早すぎる移行によるコストとリスクを見落とし、また、異なる暗号原語が直面するリスクの姿も完全に異なることを無視している。

ポスト量子暗号は高コストでも、直ちに導入しなければならない：「収集後に解読」（Harvest-now-decrypt-later、HNDL）攻撃はすでに進行中であり、量子コンピュータが本当に到来したとき、たとえそれが何十年も後だとしても、今日暗号で守られている敏感な情報は価値を持ち続ける。ポスト量子暗号によるパフォーマンス負荷と実装リスクはあるものの、長期的に秘密を保持する必要のある情報にとって、HNDL 攻撃は避けられない。

一方、ポスト量子署名の考慮は全く異なる。HNDL 攻撃の影響を受けず、そのコストとリスク（大きな署名サイズ、パフォーマンス負荷、未成熟な実装、潜在的な脆弱性）は、慎重な移行を促すべきであり、即時の実装を意味しない。

これらの区別は非常に重要だ。誤解はコストとベネフィットの分析を歪め、チームが本当に重要なセキュリティリスク――例えば脆弱性そのもの――を見失う原因となる。

ポスト量子暗号体系への真の移行成功の鍵は、「緊急性」と「実際の脅威」の整合性を取ることにある。以下に、量子脅威とその暗号学――暗号、署名、ゼロ知識証明――に関する一般的な誤解を解き明かし、これらの問題がブロックチェーンに与える影響に特に焦点を当てる。

現在我々はどのような時間点にいるのか？

2020年代に、「暗号学に実質的な脅威をもたらす量子コンピュータ（CRQC）」の出現可能性は極めて低いと考えられる。いくつかの大げさな主張が注目を集めているものの、実現可能性は乏しい。

※注：暗号学に実質的な脅威をもたらす量子コンピュータ / cryptographically relevant quantum computer の略称は以降「CRQC」とする。

「暗号学に実質的な脅威をもたらす量子コンピュータ」とは、誤り訂正と耐性を備え、Shor のアルゴリズムを十分規模で動作させ、合理的な時間内に楕円曲線暗号や RSA（例：secp256k1 や RSA-2048）を攻撃できる量子コンピュータを指す。

公開情報と資源の評価によると、そのような量子コンピュータの到来には遠い未来しか見えていない。たとえ一部の企業が2030年や2035年前後に CRQC の出現を予測しても、進展は公に示されていない。

背景的に、現在のアーキテクチャ――イオントラップ、超伝導量子ビット、中性原子系――のいずれも、RSA-2048やsecp256k1の攻撃に必要な数十万から百万個以上の物理量子ビット（具体的な数は誤差率と誤り訂正方式に依存）には遠く及ばない。

制約は単に量子ビットの数だけでなく、ゲートの信頼性、量子ビット間の連結性、そして長期間持続可能な誤り訂正回路の深さにも及ぶ。現在、千を超える物理量子ビットを持つシステムもあるが、これらは密接な連結性や高いゲート信頼性を欠いており、実際にRSAや楕円曲線暗号を破るための演算には不十分だ。

最近のシステムは、誤差率が量子誤り訂正の開始に必要な物理誤差レベルに近づきつつあるが、実用的な誤り訂正を行える論理量子ビット――数千個以上の高信頼性かつ深い回路を持つもの――は未だ示されていない。理論的には量子誤り訂正は可能だが、暗号解読に必要な規模に達しているかは未解決のままである。

要するに：物理量子ビット数と信頼性が数桁向上しない限り、「暗号学に実質的な脅威をもたらす量子コンピュータ」は遠い未来の話だ。

しかし、企業やメディアの報道は誤解を招きやすい。よくある誤解には、

「量子優越性」を実証したと謳うデモは、多くの場合、人工的な問題に限定されている。これらは実用性を狙ったものではなく、既存ハードウェア上で動作し、かつ明らかな量子加速を示すために選ばれた問題だからだ。

数千個の物理量子ビットを実現したとする企業発表も、実際には Shor アルゴリズムによる公開鍵攻撃には適していない量子計算モデルの規模を示しているに過ぎない。

「論理量子ビット」という用語の無計画な使用も問題だ。物理量子ビットは非常にノイズが多く、演算には論理量子ビットが必要。前述の通り、Shor アルゴリズムには数千の論理量子ビットが必要とされる。量子誤り訂正により、1論理量子ビットあたり数百から数千の物理量子ビットが必要だ（誤差率次第）。しかし、ある企業は、距離2の符号化を使い、論理ビットを2つの物理ビットだけで実現したと誇張している例もある。これは根本的に誤りであり、距離2の符号は誤り検出しかできず、誤り訂正はできない。

また、多くの量子計算のロードマップでは、「論理量子ビット」がClifford操作だけをサポートする量子ビットとして記述されることがあり、これらは古典的な高効率のシミュレーションが可能なため、Shor アルゴリズムを実行できない。実際に必要なのは、非Cliffordゲートを含む数千の誤り訂正後の T ゲートを備えた論理量子ビットである。

したがって、たとえあるロードマップが「202X年に論理量子ビット1千個超え」と謳っていても、それはShor アルゴリズムによるRSA-2048やsecp256k1の破壊を意図しているわけではなく、誤った理解を一般や専門家に与えるものである。

こうした誤情報は、私たちが「本当に CRQC にどれだけ近いのか」の認識を歪めてしまう。

それでも、進展に希望を持つ専門家もいる。例えば、Scott Aaronson は最近、「現状のハードウェアの進歩は驚異的であり、次の米大統領選前に、Shor アルゴリズムを動かせる誤り訂正量子コンピュータが実現する可能性は十分にある」と述べている。

ただし、彼はその後、「それは暗号学的な意味のある量子コンピュータを意味しない」と明言している。例えば、完全誤り訂正のShor アルゴリズムが15=3×5の素因数分解を成功させるだけでも、その時点では「十分」とみなすというのだ。これは、実用的なレベルではなく、あくまで微小規模の実験に過ぎない。過去の15の例は簡略化された回路を用いたものであり、フル誤り訂正のShor ではない。また、なぜ15の分解の実験が続くのかというと、15の算術計算は非常に単純で、21などの少し大きな数の素因数分解は格段に難しいためだ。したがって、21を分解したと謳う量子実験は、多くの場合、ヒントや近道に依存している。

要するに、RSA-2048やsecp256k1を将来攻撃できる量子コンピュータが出現する予測には、公開された進展や証拠は何もない。

10年でも楽観的予測に過ぎない。私たちと本当に暗号学的に関連する量子コンピュータからは依然大きく距離があり、その進展に興奮しても、十年以上の時間スケールと並行して考えることができる。

では、米国政府が2035年を目標とする、政府システム全体のポスト量子暗号体系への移行はどう意味するか？私は、これが大規模な移行を完了させるための合理的なタイムラインだと考える。ただし、これは「CRQCがその頃出現する」と予測しているわけではない。

HNDL 攻撃はどのような場面に適用でき、また適用できないのか？

「先に収集し、後に解読」（Harvest now, decrypt later、HNDL）攻撃は、攻撃者が今すべての暗号通信を記録し、将来「対暗号学に実質的な脅威をもたらす量子コンピュータ」が出現したときに解読することを目的とする。米国政府のような国家レベルの攻撃者は、すでに大量の米国政府の暗号通信を長期記録し、将来の量子コンピュータの出現に備えていると考えられる。したがって、長期的な機密性を保持すべき主体は、今から移行を始める必要がある。

ただし、デジタル署名――すべてのブロックチェーンが依存する技術――は、暗号と異なり、「秘密性」が存在しない。つまり、量子コンピュータの出現によって、偽造署名が可能になるのは事実だが、過去の署名は秘密を「隠す」ものではない。署名がCRQCより前に生成されたことが証明できる限り、その署名は偽造ではあり得ない。

したがって、暗号体系と比べて、後量子署名への移行は緊急性が低い。

主要なプラットフォームの動きもこれを反映している：Chrome や Cloudflare はウェブトランスポート層のTLS暗号にハイブリッド方式（X25519+ML-KEM）を導入している。[本文中では読みやすさのため、「暗号方式」と表記したが、TLS等のセキュア通信プロトコルは公開鍵暗号ではなく、鍵交換や鍵封入に用いられる仕組みであることに留意。]

ここでの「ハイブリッド」とは、ポスト量子耐性を持つML-KEMと既存のX25519を併用し、双方の安全性を享受する方式である。これにより、ML-KEMの安全性が未証明または不十分な場合でも、X25519が従来の安全性を保証する。

Apple の iMessage も PQ3 プロトコルに類似のハイブリッド後量子暗号を導入し、Signal も PQXDH や SPQR プロトコルにおいて同様の仕組みを取り入れている。

一方、インターネットの基盤となる後量子署名への移行は、「CRQCの出現に近づいたとき」に開始され、その時点での後量子署名のパフォーマンス低下（本文後述）を考慮した計画となる。

zkSNARKs――ゼロ知識、簡潔、非相互作用証明――は、ブロックチェーンの拡張性とプライバシーの核心技術であり、量子脅威に対しても署名と類似の性質を持つ。理由は、たとえ一部の zkSNARK が後量子安全性を備えなくても（現行の楕円曲線暗号と同じ理由で）、その「ゼロ知識」性質は量子攻撃に対しても安全とみなせる。

ゼロ知識性は、秘密の証人情報を漏らさずに証明を行えることを保証するものであり、量子攻撃者に対しても秘密情報が漏洩しない。したがって、zkSNARKはHNDL 攻撃の影響を受けない。今日作成される非後量子署名も、その証明がCRQCより前に生成されていれば信頼できる（証明された内容は真実であると保証される）。ただし、CRQCが到来した後は、攻撃者が「見かけ上有効だが実は誤った」証明を作り出す可能性がある。

これがブロックチェーンに意味すること

多くのブロックチェーンはHNDL攻撃に曝されない：非プライバシーチェーン、例えばビットコインやイーサリアムは、署名に非後量子暗号を使い続けている。つまり、署名は公開鍵であり、秘密性は存在しない。

再度強調すると、署名はHNDL攻撃の対象にならない：「先に収集し、後に解読」攻撃は暗号化されたデータにのみ有効だ。例えば、ビットコインのブロックチェーンは公開されている；量子脅威は、署名の偽造（秘密鍵の導出と資産の盗用）に関係し、既に公開された取引内容の解読には関係しない。このため、HNDL攻撃による即時の暗号学的緊急性は現在のブロックチェーンにはない。

残念ながら、一部の信用機関（米国連邦準備制度も含む）は誤ってビットコインもHNDL攻撃を受けやすいと分析しており、これがポスト量子暗号への移行緊急性を過大評価させている。

ただし、「緊急性の低下」は、ビットコインが無期限に放置できることを意味しない。規格変更に伴う社会的調整には時間を要し、数十億ドル規模の資産移行には長い時間が必要だ。（下記で詳細に議論）

例外的に、プライバシーコインでは、多くは暗号化や他の方法で受取人や金額を隠しているため、量子コンピュータによる攻撃で事前に情報を収集されるリスクがある。これらは設計によってリスクの度合いが異なる。例えば、Monero の楕円曲線環署名やキーイメージ（ダブルスペンド防止のためのリンク可能なタグ）では、公開台帳から将来的に取引の完全な流れを再構築できる。一方、Zcash などでは、破壊される程度はより限定的だ。

もし「取引は将来量子コンピュータの出現によって露呈しない」と考えるなら、プライバシーコインはできるだけ早期に後量子暗号（またはハイブリッド）に移行すべきだ。あるいは、そもそも秘密情報をオンチェーンに置かない設計にすべきだ。

ビットコインの特有の難題：ガバナンスと放棄コイン

ビットコインについては、量子技術の問題とは無関係の現実的な要素が2つある。第一はガバナンスの遅さ：ビットコインの発展は非常に遅い。意見の対立がある場合、適切な解決策について合意できず、ハードフォークによる破壊的な分岐が起こる可能性がある。

第二は、ビットコインのポスト量子署名への切り替えは、受動的な移行では完了しないという点。資金の所有者が積極的に移行しなければならない。これにより、放棄された、しかし量子脆弱なコインは保護されない可能性がある。推定では、量子脆弱で既に放棄されたBTCは数百万枚に達し、価値は数千億ドルにのぼるとされる。

ただし、量子脅威が突然の「一夜にして崩壊」をもたらすことはなく、むしろ段階的な攻撃のシナリオになる。量子コンピュータは一気にすべての暗号を破るわけではなく、Shor アルゴリズムは個別の公開鍵をターゲットにして解読を試みる。初期段階の攻撃はコストが高く、遅い。したがって、もし量子コンピュータが特定のビットコインの署名鍵を破った場合、攻撃者は価値の高いアドレスから狙う。

また、アドレスの再利用を避け、Taprootアドレスを使わずに公開鍵を公開しない限り、署名の公開鍵は未だハッシュの背後に隠されているため、完全に安全ではないにせよ、一定の保護が期待できる。最も脆弱なのは、公開鍵が長期間公開されたアドレスや、早期P2PK出力、再利用されたアドレス、Taproot資産である。

放棄された脆弱なコインについては、現状では簡単な解決策はない。例えば、

・ビットコインコミュニティで合意し、「旗日」（flag day）を設定、そこ以降に未移行のコインは破棄とみなす。

・放置された、量子リスクに曝されたコインを、CRQCを持つ者が奪取するのを許す。

2つ目の方法は、法律と安全の観点から大きな問題を孕む。量子コンピュータを使って秘密鍵なしに資産を奪取することは、多くの法域で窃盗や詐欺に該当し得る。

さらに、「放置された」状態もまた、非アクティブ性に基づく仮定だが、実際にこれらのコインの秘密鍵を持つ人がいなくなったかは確証できない。たとえかつて所有していたことを証明できても、合法的に資産を取り戻す権利があるとは限らない。この法律的曖昧さも、放置された量子脆弱コインが攻撃者に渡るリスクを高めている。

もう一つの課題は、ビットコインの取引スループットの低さだ。量子脆弱コインの移行には時間がかかるため、現行の取引速度のまま移行を進めると、数ヶ月の期間を要する。

これらの課題は、今から計画的に後量子移行を進める必要性を示している。2030年以前にCRQCが出現する可能性が高いからではなく、協調と合意の形成、技術的な準備に長期間を要するためである。

量子脅威は現実に存在するが、その時間的制約はビットコインの構造的な制約からきている。ほかのブロックチェーンも資金の量子脆弱性に直面しているが、ビットコインは特に顕著だ：早期の取引はP2PK出力で直接公開鍵を露出しており、多くのコインが量子脆弱に晒されている。技術の歴史、長いチェーンの歴史、価値の集中、スループットの低さ、ガバナンスの硬直性も、問題を深刻にしている。

これらの脆弱性は、「ビットコインの署名の暗号的安全性」にのみ関係し、経済的安全性には及ばない。ビットコインの経済的安全性はPoW（プルーフ・オブ・ワーク）による合意メカニズムに由来し、これは署名方式ほど量子攻撃の影響を受けにくい。その理由は、

PoWはハッシュ関数に依存しており、Groverのアルゴリズムによる二乗的な加速しか受けず、Shor のアルゴリズムの指数的な加速は受けない。

実際にGroverを使った探索のコストは非常に高く、量子コンピュータがPoW上で得られる実効的な加速は限られる。

たとえ量子コンピュータが大きな加速を実現しても、その効果は、大規模マイナーが相対的に有利になるだけであり、ビットコインの経済安全性の根幹を揺るがすものではない。

( ポスト量子署名のコストとリスク

なぜブロックチェーンで急ぎポスト量子署名を導入すべきでないのかを理解するには、そのパフォーマンスコストと、我々がまだ発展途上にあるポスト量子安全性に対する信頼を同時に考慮する必要がある。

ほとんどのポスト量子暗号は、以下の5つの方法のいずれかに基づいている：ハッシュ、誤り訂正符号、格子、多変数多項式（MQ）、アイソジェニー（同源性）。

なぜこの5つの方法があるのか？それは、どのポスト量子原語も、「量子コンピュータが効率的に解けないと仮定した特定の数学問題」が安全性の基盤だからだ。問題の構造が「強」なら、より効率的な暗号プロトコルを構築できる。

しかしこれは、両刃の剣でもある。より複雑な構造は、攻撃の対象となる面も拡大し、アルゴリズムも突破されやすくなる。これが根本的な緊張関係だ――より強い仮定は、より良い性能をもたらすが、その代償は潜在的な安全性の低下（仮定が誤りである可能性の増大）を伴う。

全体として、安全性の観点からは、ハッシュに基づく方式が最も安全性が高く、最も慎重といえる。なぜなら、これらは量子コンピュータによる効率的攻撃の証明が最も困難だからだ。ただし、そのパフォーマンスは最も悪い。例えば、NIST の標準化候補のハッシュ署名は、最小パラメータ設定でさえ署名サイズが7～8 KBに達する。一方、現在の楕円曲線署名は64バイト程度であり、その差は100倍以上だ。

格子方式は、現時点で最も有望な実装候補だ。NIST が選定した唯一の暗号方式や、3つの署名アルゴリズムのうち2つは格子に基づくものである。その一つ、ML-DSA（旧称：Dilithium）は、128ビットの安全レベルでは署名サイズが約2.4 KB、256ビットでは約4.6 KBとなり、楕円曲線署名の40～70倍に達する。もう一つの格子署名Falconは、署名がより小さく（Falcon-512は666バイト、Falcon-1024は1.3 KB）、しかし複雑な浮動小数点演算に依存しており、NISTも実装上の大きな課題としている。Falconの設計者の一人、Thomas Pornin は「これまでに実装した中で最も複雑な暗号アルゴリズム」と評している。

実装の安全性の観点では、格子署名は楕円曲線方式よりもはるかに難しい。ML-DSAは、多くの敏感な中間値や複雑な拒否サンプリングのロジックを含み、これらは側通路攻撃や故障注入攻撃に対して防御が必要だ。Falconは一定時間の浮動小数点演算の複雑さも増し、既に複数の側通路攻撃で秘密鍵が復元されている。

これらのリスクは、すぐに存在しているものであり、「遠い未来の量子コンピュータ」脅威とは全く異なる。

より効率的なポスト量子暗号の採用には慎重さが必要だ。Rainbow（MQに基づく署名）やSIKE/SIDH（アイソジェニーに基づく暗号）は、すでに「古典的」攻撃により破られている。すなわち、現実のコンピュータによって破壊された例だ。これらは、NISTの標準化プロセスがかなり進んだ段階で見つかった。

当然ながら、インターネットのインフラも慎重に署名方式の移行を進めている。これは重要だ：ネットワークの暗号遷移には長期間を要する。例えば、MD5やSHA-1の廃止も長年かかり、未だ完全に淘汰されていない。これらは完全に破られたものであり、「将来破られるかもしれない」のレベルではない。

) ブロックチェーン vs ネットワークインフラのユニークな課題

幸い、オープンソースのブロックチェーン（EthereumやSolanaなど）は、従来のネットワークよりも短期間でアップグレードしやすい。一方、ネットワークインフラは頻繁な鍵のローテーションにより、量子コンピュータの追従速度を上回る速さで攻撃面の変化が進む可能性がある。ブロックチェーンはこうした動きに追随しにくい。資金や鍵が無期限に曝露されたままだからだ。ただし、全体としては、ブロックチェーンもWebのガバナンスを参考に、慎重に署名方式の移行を進めるべきだ。過剰な早期の移行はコストとリスクを伴い、今の段階では避けるべきだ。

また、ブロックチェーンには、署名方式の早期移行が特に危険な課題も存在する。特に、「高速で大量の署名を集約する」ニーズだ。例えば、BLS署名は効率的な集約ができるため普及しているが、これらはポスト量子安全ではない。SNARKを用いた後量子署名とその集約も研究されているが、実用段階には至っていない。

SNARK自体についても、ハッシュベースの後量子構造に注目が集まるが、私は今後数か月・数年以内に格子方式が魅力的な選択肢となると確信している。これらはより短い証明長さなど、多くの面で優れる見込みだ。

今後より深刻な問題：実装の安全性

今後数年、実装に由来する脆弱性は、「本当に脅威となる量子コンピュータ」よりもずっと深刻な問題となる。特に、SNARKやポスト量子署名の複雑さゆえのバグや側通路攻撃は、長期にわたり頻発し得る。今から、コードレビュー、模擬テスト、形式検証、多層防御などを徹底すべきだ。これらを怠ると、次に大きな脆弱性が見つかったときに、次の遷移に二度と対応できなくなるリスクが高まる。

どうすべきか？7つの提言

前述の現実的状況を踏まえ、以下の提言を示す。これは、開発者から政策立案者までに向けたものである。ポイントは、「2030年前に暗号学に実質的な脅威をもたらす量子コンピュータが出現する」という前提に過度に依存しないこと。現状の進展はその予測を支持しない。ただし、我々には今からできる準備が数多くある。

1. 直ちにハイブリッド暗号を導入せよ

少なくとも、長期的な秘密保持が必要なシナリオにおいては。多くのブラウザやCDN、メッセージングアプリ（例：iMessageやSignal）はすでにハイブリッド方式を採用している。ハイブリッドは、ポスト量子耐性を持つML-KEMと、既存のX25519を併用し、安全性と互換性を両立させる。

2. 大容量の署名に耐えられる場面ではすぐにハッシュ署名を採用せよ

ソフトウェアやファームウェアの更新など、低頻度かつ署名サイズに寛容な場面では、すぐにハイブリッド方式のハッシュ署名を使うべきだ。これにより、量子到来に備えた「安全な救命艇」を提供できる。未だ後量子署名の導入手段がない場合、CRQC出現後の安全なアップデートは困難になる。

3. ブロックチェーンは急いでポスト量子署名を導入しなくてよい――しかし今から計画すべき

ブロックチェーン開発者は、Web PKIのアプローチを参考に、慎重に後量子署名の導入を進めるべきだ。これにより、パフォーマンスや安全性の理解が深まるとともに、システムをより柔軟に設計できる。特に、ビットコインやその他レイヤー1チェ