サトシ・ナカモト 2010 年に量子コンピューターについて語る：段階的に進展していけば、ビットコインはより強力な暗号技術へ移行できる可能性がある

Bitcoin Magazine が近日、中本聰が 2010 年に量子コンピューターについて書いた一連の返信（回文）を掘り起こしました。彼は当時、「もし段階的に起こるのなら、私たちはより強力なアルゴリズムへ移行できる」と述べています。
（前情提要：量子コンピューターが「中本聰の足跡」を明らかにする可能性？Adam Back：眠る 100 万枚のビットコインに声を）
（背景補足：Adam Back、量子コンピューターによる「ビットコインの破解」を防ぐ：SLH-DSA を Taproot に統合することを提案）

この記事の目次

Toggle

• 中本聰の原初の返信：「段階的に起こるなら、時間がある」
• ECDSA の量子弱点：Shor の演算アルゴリズムの脅威
• 「段階的」な前提が揺らぎ始めている
• コミュニティは何をしているか：ポスト量子 BIP 提案

Bitcoin Magazine は本日（1）日、あるスクリーンショットを掲載しました。スクリーンショットの出所は 2010 年 7 月 10 日の BitcoinTalk フォーラムで、中本聰が「Re: Major Meltdown」という題名のスレッドにおいて、量子コンピューターがビットコインを脅かしうるという問題に初めて前向きに応じた場面だといいます。

Google の Willow チップと Microsoft のトポロジカル量子ビットが相次いでブレークスルーを果たしているさなか、封印されて 16 年のこの文章にはまったく異なる重みが出てきました。

Satoshi Nakamoto in 2010 on quantum computers: “If it happens gradually, we can still transition to something stronger.” pic.twitter.com/UoFk1tNRDQ

— Bitcoin Magazine (@BitcoinMagazine) March 31, 2026

中本聰の原初の返信：「段階的に起こるなら、時間がある」

当時、フォーラムのユーザー「llama」が懸念を示しました。整数分解の問題が解決される、あるいは量子コンピューターが登場してデジタル署名が破られれば、仮にコミュニティが最後の有効ブロックへロールバックすることに同意したとしても、もはや意味がないのではないか、と。

中本聰の完全な返信は次のとおりです：

確かに、もし突然起こるのなら。

しかし、もし段階的に起こるのなら、私たちはより強力なアルゴリズムへ移行できます。あなたが最初にアップグレード後のソフトウェアを実行すると、それは新しく、より強力な署名アルゴリズムで、あなたの資金のすべてを再署名します。自分自身に送金し、より強力な署名を付けたトランザクションを作成することで実現できます。

中本聰が説明したメカニズムは、まさに今日のビットコインのポスト量子 BIP 提案で議論されている中核のルートです。すなわち、ソフトフォークで署名方式を置き換え、さらにすべてのユーザーが UTXO を新しいアドレス形式へ主導的に再署名することです。

ECDSA の量子弱点：Shor の演算アルゴリズムの脅威

ビットコインは現在、取引の承認メカニズムとして ECDSA（楕円曲線デジタル署名アルゴリズム）を採用しています。問題は、十分な量子ビットを備えた量子コンピューターが Shor のアルゴリズムを実行すれば、理論上、ECDSA を多項式時間内に解読でき、公鍵から私鍵を逆算できることです。

最大のリスクは P2PK（Pay-to-Public-Key）形式のアドレスです。これは初期のビットコインで最も一般的な形式で、公鍵がそのままオンチェーンに露出しており、支払いが行われるまで姿を現す必要がありません。中本聰本人が採掘した約 100 万枚のビットコインの大半は、まさにこの種の形式です。量子コンピューターが十分な能力を持てば、これらの眠っている資産の私鍵は理論上、推定可能になります。

一方で、P2PKH および P2WPKH 形式は、未消費の間は公鍵ではなくハッシュ値のみがオンチェーンに露出し、追加の保護層が提供されています。しかし取引を起こせば、公鍵が即座に公開され、攻撃者にとっては攻撃の機会となる「ウィンドウ期間」が生まれます。

「段階的」な前提が揺らいでいる

中本聰が 2010 年に置いた楽観的な前提は、脅威は「段階的に起こる」ため、コミュニティには十分な準備時間があるというものでした。しかし 2025～2026 年の量子の進展により、この前提にかかる圧力はますます大きくなっています。

Google の Willow 量子チップは特定のベンチマークで、従来のスーパーコンピューターを上回る能力を示しました。Microsoft はトポロジカル量子ビットでのブレークスルーを発表しており、フォールトトレラントな量子計算の実現に向けた重要な一歩だと見なされています。暗号学界の大半の見積もりでは、実際に ECDSA を脅かせる量子コンピューターには数百万個の論理量子ビットが必要で、そこからは数年から数十年の幅があるとされていますが、「段階的」なカーブは明らかに 10 年前より急です。

重要な矛盾はここにあります。ビットコインのプロトコルのアップグレード自体が、段階的でありつつ摩擦の大きいプロセスであるという点です。ソフトフォークには、マイナー、ノード、ウォレットのサービス提供者などによる広範な協調が必要です。ユーザーが旧アドレスの資金をポスト量子アドレスへ能動的に移行するには、世界中の数千万人規模のウォレットが同時にアップグレードする必要があります。量子脅威の成熟速度が、コミュニティの準備速度を上回るなら、中本聰の「段階的な移行」ウィンドウは、誰にも気づかれないうちに閉じてしまうかもしれません。

コミュニティは何をしているか：ポスト量子 BIP 提案

ビットコイン開発者コミュニティは傍観しているわけではありません。Blockstream の CEO である Adam Back は、SLH-DSA（つまり SPHINCS+）を採用し、それを Taproot のアーキテクチャに統合することを提唱しています。SLH-DSA は米国国立標準技術研究所（NIST）によって標準化されたポスト量子署名方式の一つで、数学的な難問ではなくハッシュ関数に基づいており、理論上は量子攻撃に対する耐性を備えています。

もう一つの候補は、格子暗号の CRYSTALS-Dilithium です。署名サイズがより小さいものの、ビットコインのスクリプト環境との互換性はまだ検証が必要です。

量子技術企業の BTQ はすでに「Bitcoin Quantum」テストネットも立ち上げており、ビットコインが実際の攻撃を受ける前に、防御のための基盤インフラを構築しようとしています。

主な課題は技術の選定だけではありません。「連絡の取れないコイン（失聯幣）」問題もあります。移行の締切日が来てもなお、大量のビットコインが旧形式のアドレスに残っている場合、コミュニティはそれらのコインを凍結するのか、あるいは焼却（銷毀）するのか。これは所有権の定義にまで波及する政治的な綱引きになり得ます。