Google Quantum AIチームが3月30日付で公開した論文で、将来の高速量子コンピュータがビットコインの秘密鍵を約9分で導出できる可能性が示されました。平均10分のブロック生成時間内に未確認トランザクションを狙う攻撃が成立し得る内容で、ビットコインの量子耐性強化を急ぐ必要性が改めて浮き彫りになっています。
論文のタイトルは「Securing Elliptic Curve Cryptocurrencies against Quantum Attacks」です。Googleは同日公開したResearchブログでも、ブロックチェーン分野でポスト量子暗号への移行を進めるべきだと主張し、2029年までの対応を目標に据える考えを示しました。長く理論上の話とされてきた量子の脅威について、攻撃に必要な時間と資源を具体的な数値で提示した点が今回の特徴です。
焦点となっているのは、論文が「on-spend attack」と呼ぶ攻撃モデルです。これは、ユーザーがビットコインを送金する際に公開される情報を利用して、mempool上の未確認トランザクションを標的に秘密鍵を逆算し、攻撃者が先回りして資金を奪うという想定です。Googleの研究チームは論文の中で「最初の高速クロックCRQCは、一部暗号資産の公開mempoolトランザクションに対するon-spend攻撃を可能にする。こうした攻撃では秘密鍵を約9分で導出できると見積もる」と述べています。
この9分という数字は、ビットコインの平均ブロックタイムである約10分と直接結びつきます。論文では、攻撃者が公開鍵から秘密鍵を導出し、元の送金より先に、あるいは競合する形で自らのトランザクションを通そうとした場合、平均的な条件下で資金窃取に成功する確率を41%と試算しました。未確認のままmempoolに置かれている時間が十分であれば、量子攻撃が理論上の脅威にとどまらないことを示す数字です。
論文は攻撃を大きく三種類に分類しています。ひとつは今回中心となるon-spend attack、二つ目は過去に公開鍵が露出したアドレスや長期間動いていない資産を狙う「at-rest」型、三つ目は取引所や決済チャネルなどブロックチェーン外の仕組みを標的にする「offchain」型です。なかでもon-spend攻撃は送金のたびに発生し得るため、利用者にとって最も現実的なリスクだと論文は指摘しています。
Googleはこうした攻撃を可能にする前提として、高速クロックを備えたCRQCという量子コンピュータを想定しています。実行には数百万規模のエラー訂正済み論理qubitが必要で、現時点の量子計算機が直ちにビットコインを破れるという話ではありません。ただ、研究チームは攻撃に必要な資源を見直すことで、以前の見積もりよりもコストが下がる可能性を示しています。市場関係者の間で量子リスクのタイムラインが前倒しになるとの受け止めが出ているのはこのためです。
論文は、すべてのビットコインアドレスがPublic Mempool Exposureや再編成攻撃の影響を受け得るとも論じています。あわせて、Taprootアップグレードが一部のケースで量子攻撃を容易にする可能性にも触れています。Taproot自体を脆弱だと断定したわけではありませんが、公開鍵の見え方や利用パターンによっては、量子時代に合わせた設計の見直しが必要になると示唆しています。
CRQCがいつ実現するのかについて論文は明確な年限を示していません。数年から数十年の幅があり、41%という成功率も理想条件を含む推定です。
