Citiの2026年5月16日付レポートによると、Bitcoinの総供給量の約25%にあたる450万から670万BTCが、オンチェーン上で公開鍵をすでに露出した状態にある。量子コンピュータが暗号を破れる水準に達するQデーが2034年までに到来する確率は34%とCitiは試算している。時間は思っていたよりも短い。
TL;DR: Citi Instituteの報告書「Quantum Threat: The Trillion-Dollar Security Race」(2026年5月16日付)は、BTC供給量の25%にあたる最大670万BTCが量子攻撃に対して脆弱な状態にあると指摘した。金融庁(FSA)が監督する国内取引所に預けた資産も、長期的には無関係ではない。
米シティグループは5月16日に公開した報告書の中で、量子コンピューティングの進歩が従来の予測を上回るペースで加速していると警告した。暗号学的に有意な量子コンピュータ(CRQC)が実用化されれば、Bitcoinウォレットを保護する楕円曲線暗号が破られるリスクがある。SF的な話ではない。具体的な日付を伴う計算だ。
主要データ:BitcoinへのQデーリスク
- オンチェーンで公開鍵が露出済みのBTC 450万〜670万(供給量の25%)
- 推定リスク資産額 3,500億〜5,000億ドル
- 2034年までにCRQCが実現する確率 34%
- 世界銀行システムへのリスク(Citi Institute推計) 3兆ドル
- 提案中のBitcoinアップグレード BIP-360、BIP-361
- EUにおける高リスクシステムの移行期限 2030年(G7サイバー専門家グループ)
出典: Citi Institute 「Quantum Threat: The Trillion-Dollar Security Race」・2026年5月16日更新・Project Eleven
出典: Citi Institute 「Quantum Threat: The Trillion-Dollar Security Race」・2026年5月16日更新・Project Eleven
露出の仕組み:すべてのBitcoinが同じリスクを抱えているわけではない
問題の根源は、Bitcoinがアドレスを管理する方式にある。ネットワーク黎明期に使われたPay-to-Public-Key(P2PK)形式のアドレスは、公開鍵をオンチェーン上に永続的に公開した状態で残す。P2PKアドレスから一度でも送金した場合、その公開鍵は世界中に公開済みとなる。十分な能力を持つ量子コンピュータがショアのアルゴリズムを使えば、公開鍵から秘密鍵を逆算できる。ウォレットの所有者が何も悪いことをしていなくても、資金が危険にさらされる。
Project Elevenの推計では、約690万BTCがこのP2PKカテゴリに該当し、Satoshi Nakamotoに帰属するとされるウォレットの一部も含まれる可能性が高い。より現代的なP2PKHアドレスも、送金の瞬間は安全とは言えない。トランザクションに署名する行為自体が、ブロック確認の時間帯だけ公開鍵を露出させる。理論上、十分に高速な量子コンピュータであれば、その数秒間に公開鍵を傍受して代替トランザクションを先行させることが可能だ。
Citiはこのシナリオを、Citi Institute報告書の中で「企業・銀行のセキュリティガバナンスの文脈で既に考慮すべき問題」と位置づけている。ハードウェアウォレットで自己保管しているリテール投資家にとって、即時リスクは低い。一方、長年放置されたP2PKアドレスに資金を持つユーザーにとっては、構造的な脆弱性がすでに存在する。
量子コンピュータはBitcoinを本当にハッキングできるのか
正直な答えはこうだ。今日は無理。10年後は分からない。Citi Instituteの報告書によると、暗号学的に有意な量子コンピュータ(CRQC)が2034年までに実現する確率は34%とされている。Ethereum共同創設者のVitalik Buterinは以前、2030年までに20%という推計を示していた。Citiの研究者たちはその数字を、現在では「楽観的すぎる」と評価している。GoogleやIBMの開発進展に加え、中国の軍事プログラムが想定より早いペースで進んでいるためだ。
より差し迫ったリスクは、ウォレットへの直接攻撃ではない。Citiが「今日集めて、明日解読する(harvest now, decrypt later)」と呼ぶ手法だ。国家レベルのアクターは今すぐ、暗号化されたデータやトランザクション、メッセージを収集・保存し、将来の量子処理能力が解読を可能にする日を待てる。長期的な金融データを扱う銀行や機関にとって、リスクはすでに現在のものだ。Citi Instituteは、この脅威に対するグローバル銀行システム全体のエクスポージャーを3兆ドルと試算している。
日本の文脈で言えば、金融庁(FSA)が認可するbitFlyerやCoincheck、SBI VCトレードなどの取引所に預けた資産の長期的な安全性は、取引所が採用するインフラのポスト量子対応に依存する。現時点でJVCEA(日本暗号資産取引業協会)はポスト量子移行の具体的なロードマップを公表していないが、G7の2030年期限は国内規制当局にとっても無視できない指標となる。
BIP-360、BIP-361とBitcoinのガバナンス問題
Citiは、EthereumよりBitcoinのほうが脆弱性が高い理由として、ガバナンス構造を挙げている。Bitcoinは意図的にゆっくり変わる設計だ。プロトコルの変更には、マイナー、開発者、ノード運営者の間で広範なコンセンサスが必要になる。BIP-360(QuBit)とBIP-361は現在議論中のポスト量子署名導入提案だが、どちらもソフトフォークとして採用されるのに必要な支持水準にはまだ達していない。Ethereumは比較として、The MergeやDencunといった大規模アップグレードを比較的短期間で実施した実績を持つ。
Rippleは2026年3月、Project Elevenをテクニカルパートナーとして、2028年までにXRPLをポスト量子対応にする4段階計画を発表した。米国家安全保障局(NSA)は2025年5月、重要システム向けのポスト量子推奨アルゴリズム集「Commercial National Security Algorithm Suite 2.0(CNSA 2.0)」を公開している。
G7サイバー専門家グループは、欧州諸国における高リスクシステムの移行期限を2030年と定めている。ただし、Bitcoinはいかなる国家や組織にも統治されていない。その移行はコミュニティ次第だ。そのコミュニティは歴史的に、遅くとも確実な方法で動くことを好む。
注目すべき具体的な日付は2034年よりも2030年だ。G7が定めた高リスクシステムの期限がそこにあり、Bitcoinを保有または担保として使用する欧州の銀行は、規制当局に対してポスト量子移行計画が稼働中であることを証明しなければならない。BIP-360が今後24〜36ヶ月以内にコンセンサスを得られなければ、BitcoinのアップグレードスピードとCRQC開発速度との差は拡大し続ける。
Qデーが明日来るとは誰も言っていない。問題は、Qデーが来たときにBitcoinが準備できているかどうかだ。
