Coinbase、ブロックチェーン向けポスト量子暗号を探求

量子コンピュータは、数年以内に商業的に有用な規模で実現すると予測されており、見積もりや目指す性能により2028年頃から2030年代中頃までの間とされています。

これは、半導体、航空宇宙、バッテリーなどの材料科学に関する問題や、タンパク質の3次元構造の解明、さらには新たな救命医薬品の発見といった、極めて高度な数学的問題を解くのに非常に有用です。

しかし、同じ計算能力は、現代社会の基盤となっている暗号方式を破るためにも利用され得ます。そのため、例えば米国の主要銀行は、量子耐性があると考えられる格子基盤暗号の導入を加速せざるを得ない状況にあります。

同様に、暗号通貨も、現在の安全性を支える暗号が突然破られるリスクがあります。

特に問題なのは、将来の量子コンピュータが、現在は解読不可能とされているデータの暗号も破り、後で復号できる「Harvest Now, Decrypt Later（HNDL）」という手法が可能になることです。

このような状況を受け、ブロックチェーンや暗号通貨の主要プレイヤーは、量子コンピュータの出現に備えて迅速に動いています。

その一つがCoinbaseで、同社は「Quantum Computing & Blockchain」というレポートを公開し、これらの懸念に対処し、ブロックチェーンコミュニティが実際のセキュリティ問題を回避するために採用すべき可能な解決策を検討しています。

大規模でフォールトトレラントな量子コンピュータ（FTQC）は最終的に実現すると高い確信があります。したがって、ブロックチェーンおよび広範な暗号エコシステムはこの事態に備える必要があります。

Coinbaseの量子レポート概要

このレポートの概要では、Coinbaseは米国標準技術研究所（NIST）がポスト量子（PQ）への移行は2035年までに実施すべきと推奨していることを指摘し、準備期間がわずか9年であることは楽観的すらあると述べています。

「2025年以降に暗号的に重要な量子コンピュータ（CRQC）が存在しないとは確信できません。最近の研究は、タイムラインがより短くなる可能性を示唆しています。」

レポートは以下の6つの主要セグメントと「追加読書」付録に分かれ、トピックを包括的にカバーしています：

1. 量子コンピューティング概観と現在の最先端技術。
2. ポスト量子暗号（PQC）。
3. ポスト量子暗号とコンセンサス層。
4. ポスト量子暗号と実行層。
5. 主要ブロックチェーンのポスト量子計画。
6. 署名以外のポスト量子セキュリティ。

量子コンピューティング概観

この最初のセクションでは、量子コンピュータとは何か、何ができるのか、そしてこれまでの技術の進展について概観します。

要するに、量子コンピュータは、重ね合わせやその他の量子効果を利用し、追加される各「キュービット」（通常のビットに相当）ごとに計算能力が指数的に増大します。

量子コンピュータの性能は、N個のキュービットの重ね合わせを記述するために2^N個のパラメータが必要になるという事実に直接関係しています。たとえばN=1000の場合、観測可能な宇宙に書き記すことのできるパラメータ数を超えてしまいます。

前述の通り、このようなコンピュータは物理世界のシミュレーションや暗号解読に最適です。また、AIの効率的な訓練にも利用でき、以前の記事「量子コンピューティングは実世界での初のユースケースを持つか」で取り上げました。

量子コンピュータ構築の主な制約はハードウェアであり、製造が極めて困難で、キュービットが信頼できる状態で十分な時間量子状態を保ち、実用的な計算を行えるようにすることが難しいです。

この課題は、二量子ビットゲートの物理的エラー率を低減することと、より高いエラー率に耐えられるフォールトトレラント方式を設計することの二つの方向で改善できます。

フォールトトレラント量子計算（FTQC）を実行するには、物理キュービットを常に測定し、エラーが発生した場所と修正に必要な操作を特定する必要があります。

最近の誤り訂正の改善により、99.9% の精度を持つ二量子ビットゲートで十分である可能性が示されています。これは当初予想された 99.9999% よりはるかに低く、現実的に達成可能な数値です。さらに、これはQuantinuum（Honeywell の一部 Honeywell (HON )、関連する投資レポートへのリンクをご参照ください）およびGoogleによって個々のキュービットで既に実現されています。

この精度が数万から数十万の物理キュービットにスケールしても維持できれば、理論的にFTQCに十分と考えられます。

レポートはまた、量子コンピューティング企業や研究者が検討している主要なハードウェアタイプの概要を示しています：

• 超伝導。
• トラップド・イオン。
• 中性原子。
• フォトニクス。
• トポロジカル。

結論として、量子コンピュータはすぐに利用可能になるわけではありませんが、現在の最高レベルの暗号を破ることができないと仮定する理由はなく、ブロックチェーンや暗号通貨が存在し続ける保証もありません。

ポスト量子暗号 (PQC)

ポスト量子暗号は、金融システム全体や軍事システムが量子コンピュータから安全であり続けるために不可欠です。

この種の暗号は、通常設計・容量のコンピュータ上でも動作できる必要があります。

ポスト量子暗号は古典コンピュータ上で実行され、量子攻撃者に対して安全です。これは、量子鍵配布（QKD）のようにユーザーが量子システムを使用する必要があるものとは対照的です。

主要な手法としては、格子基盤とハッシュ基盤の二つがあります：

• 格子基盤：RSAやECCなどの従来の暗号手法は、Shor のアルゴリズムが効率的に解くことができる群の周期構造に基づいています。一方、格子基盤暗号はそのような構造に依存しません。
• ハッシュ基盤：非常に安全ですが、計算リソースを大量に消費する暗号手法です。

SLH-DSAハッシュベース暗号の高速署名バリアントは、署名サイズがECDSAの約250倍で、署名時間は約1,000倍遅くなります。これらの方式をブロックチェーンに導入することは明らかに非常に困難です。

出典： Coinbase

NISTはここで重要な役割を果たしています。2024年、米国標準技術研究所（NIST）は3つの異なるポスト量子暗号（PQC）標準を策定しました：

• FIPS 203 – ML-KEM – 格子暗号に基づく鍵カプセル化メカニズム（KEM）で、量子耐性鍵確立（例：TLSやVPN）の主要構成要素として意図されています。
• FIPS 204 – ML-DSA – 主にソフトウェア署名、証明書、認証などに使用される格子基盤のデジタル署名方式です。
• FIPS 205 – SLH-DSA – ステートレスなハッシュ基盤署名方式で、将来の研究で格子基盤システムに弱点が見つかった場合の「バックアップ」として異なる前提で構築されています。

出典： NIST

ポスト量子暗号とコンセンサス層

このセクションは、量子耐性暗号がブロックチェーンに与える影響、特にコンセンサス層への影響について検討しています。

一般的に、PQ安全性への移行における主な懸念はデータサイズと計算コストです。さらに、ユーザーが暗号鍵を積極的に切り替えることを調整する課題があります。

主な脆弱性はShor のアルゴリズムに起因し、強力なPQコンピュータが従来の公開鍵暗号を破る可能性があります。

エネルギー集約的なプルーフ・オブ・ワークから移行し、ビザンチン耐障害性（BFT）問題への解決策に依存するブロックチェーンは、より脆弱になる可能性があります。ここでの主な脅威はShor のアルゴリズムであり、その背後の数学は量子コンピュータで解決可能です。

コンセンサスに集約署名や閾値署名を利用するブロックチェーンでは、状況はさらに悪化します。

このシステムは特にイーサリアムで使用されており、バリデータ署名の送信、検証、保存にかかるコストを削減するために投票が集約または閾値化されます。これらのブロックチェーンは、ポスト量子安全にするための簡単なプラグアンドプレイの代替手段を持っていません。

しかし、レポートはビットコインのプルーフ・オブ・ワークベースのナカモトコンセンサス（NC）は、ハッシュ関数に対するGrover の攻撃という別の解読手法によって理論的にのみ脅威にさらされると説明しています。

実際には、Grover の二乗的速度向上は、現在のマイニングに使用される高度に最適化されたASICに比べ、量子コンピュータのキュービット操作あたりの時間がはるかに遅いため、パズルサイズに対する実質的な速度向上にはつながりません。したがって、ナカモトコンセンサス機構は本質的にポスト量子安全です。

ポスト量子暗号と実行層

このセクションは、量子耐性暗号がブロックチェーンに与える影響、特に実行層への影響について検討しています。

取引に付随する暗号署名は送信者を認証し、状態変化を許可します。ECDSAやSchnorrなどのコンパクト署名方式は、すべてポスト量子代替方式に置き換える必要があります。

リスクの一つは、新しいポスト量子暗号システムが従来のものに比べて試験や実績がはるかに少ないことです。

ML-DSAやFN-DSAといった格子基盤方式については、実際にセキュリティが低下する可能性があります。なぜなら、これらはECDSAやEdDSAほどの実績がなく、深く研究されていない署名方式に移行することになるからです。

• P1：移行は現在のセキュリティ体制を損なわないこと。
• P2：新しい方式は、現状のまま、または迅速にポスト量子セキュリティへ切り替えることで、ポスト量子セキュリティを提供すること。
• P3：量子脅威が差し迫っていない限り、新方式は現在の運用に大きなコストを追加しないこと。
• P4：量子脅威が差し迫っていない限り、ブロックチェーンや現在の運用への変更は最小限（可能であれば不要）であること。

レポートは続いて、さまざまな可能な戦略を検討し、比較しています。

戦略1はプライベートキーをハッシュ出力として生成します。この方法により、量子脅威が近づいた際に、所有者がプライベートキーの事前像を知っていることに基づき、ECDSAまたはEdDSAで署名できるようになります。

戦略2は2対2ハイブリッド／ダブル署名へ移行します。この戦略はポスト量子署名方式を追加し、各取引にECDSA/EdDSA署名とポスト量子署名（例：ML-DSA）の両方を含めることを要求します。

戦略3は1対2（またはそれ以上）署名へ移行します。戦略2と似ていますが、両方の署名を要求する代わりに、楕円曲線方式またはポスト量子方式のいずれかで署名すればよいというものです。

出典： Coinbase

これらすべての方法では、アカウント所有者が残高をポスト量子署名方式で保護された新しいアカウントへ移転する必要があり、これ自体が問題となります。

ビットコインやイーサリアムなどのブロックチェーンの現在の取引速度では、所有されている数百万のUTXOアカウントを切り替えるだけで、数か月かかる可能性があります。

総合的に、Coinbaseは「1対2への移行」戦略を推奨しています。これは、必要になるまでコストを追加せずに脅威に対処できるためです。

主要ブロックチェーンのポスト量子計画

ビットコイン

ビットコインの現在のアプローチは、すべてのUTXO公開鍵をハッシュ関数で隠すことです。これは、公開鍵の管理方法を変更することで緩和できます。

BIP-360提案は、Pay-to-Merkle-Root（P2MR）という新しいTaproot出力タイプを導入し、公開鍵を完全に除去します。この提案がビットコインメインネットで有効になると、P2TR出力をP2MR出力に移行することでこの脆弱性が解消されます。

一方、一部のコアビットコイン開発者は、ビットコイン向けにハッシュベース署名の検討を進めています。

少なくとも、プルーフ・オブ・ワークによりマイニングネットワークはかなり安全であり、量子リスクの観点からビットコインの強みとなっています。

しかし、現時点では待機観測アプローチが主に支持されています。Coinbaseは、このアプローチが問題を引き起こす可能性があり、特に量子関連リスクへの懸念が高まることでビットコインの将来像を損なう恐れがあると指摘しています。

待機観測アプローチは市場の不確実性を招くという代償があります。そのため、正確な移行計画を待つことは理にかなっていますが、必要に応じて迅速な移行を可能にする明確な戦略と準備が伴うべきです。

イーサリアム

量子コンピュータに対してはより脆弱ですが、イーサリアムコミュニティは関連課題の緩和に向けた詳細な計画を公表しています。

現在の計画は、コンセンサス層と実行層の両方でハッシュベース署名へ移行することです。標準的な暗号ハッシュ関数を使用すれば、イーサリアムに新たなセキュリティ前提は導入されません。

ステートレスとステートフル署名オプション間で議論が続いており、ステートフルの短い署名はコンセンサス層に、ステートレスは実行層に適しており、アカウント所有者は状態管理のミスから保護されます。

総合的に、Coinbaseは「バリデータがステートフルなハッシュベース署名方式で各ブロックに証明し、特定ブロック上のすべての証明はハッシュベースの簡潔証明システムを用いて単一の証明に集約される」ポスト量子イーサリアムを描いています。

ソラナ

ソラナは「Solana Winternitz Vault」と呼ばれる新しい金庫タイプを作成しました。これはハッシュベース署名方式で、署名サイズは管理可能です（ただし、ECDSA署名よりも2桁大きくなります）。

ソラナのトークン保有者が資産を新しいWinternitzベースのアドレスに移すと、資産は量子攻撃者から保護されます。

この点だけでも、ソラナは量子対応においてビットコインやイーサリアムより大きく先行しているため、重要な利点となります。

その他：Algorand、Sui、Aptos

Algorandは、コンセンサス関連メカニズムと実行層の両方でポスト量子（PQ）署名方式を本番環境で導入した最初のブロックチェーンプラットフォームの一つです。これはまだ部分的に進行中ですが、ブロックチェーン技術がケースバイケースで迅速に量子対応できることを示しています。

Aptosは、ユーザーのアドレスがユーザー公開鍵のハッシュから導出されないシステムを採用しています。そのため、ポスト量子安全になりたいユーザーは、認証キーをポスト量子公開鍵に更新する取引に署名すればよく、新しいアカウントへ資産を移す必要はありません。

一方、Suiはポスト量子安全チェーンへの移行戦略をいくつか提示していますが、どの戦略が実装されるかはまだ明らかではありません。

署名以外のポスト量子セキュリティ

取引署名やブロックチェーンの完全性は、量子コンピュータが暗号を破って混乱を引き起こす可能性がある唯一のテーマではありません。

例として、ブロックチェーンエコシステム全体で署名鍵を保護するために使用される閾値署名があります。

この場合、Schnorr署名方式の格子基盤アナログであるMLDSAが使用可能です。また、SLH-DSAのいずれかのバリアントといったハッシュベース署名方式も、より高いセキュリティ保証が必要な用途に利用できます。

もう一つは、マークルツリー、パトリシアツリー、ハッシュベース証明システムで使用される衝突耐性ハッシュ関数です。原則として、量子コンピュータが脅威となるテーマではありませんが、将来的に新たな量子アルゴリズムがそれを変える可能性があります。

量子以前のTLSプロトコルは、Harvest-Now-Decrypt-Later（HNDL）と呼ばれる攻撃のリスクがあります。幸い、ポスト量子TLSはすでにインターネット上で広く展開されています。例えば、2026年2月時点で、Cloudflareのインターネットトラフィックの60%以上がハイブリッドなポスト量子安全暗号スイートX25519MLKEM768を使用しています。

一方、プライバシーシステムで使用されるゼロ知識証明システムは影響を受けないはずです。永遠に隠されたままであることが前提の量子脆弱な取引データを持つ他のプライバシーシステムは、Harvest-Now-Decrypt-Laterの脅威に対してよりリスクが高くなる可能性があります。

Coinbaseへの投資

Coinbaseによる暗号通貨とブロックチェーンエコシステムの量子リスクと準備状況に関するこのレポートは重要であり、同社が業界のリーダーとして果たす役割とイノベーションを反映しています。これは、過去数年間で同社が担ってきた規模と重要性の直接的な結果です。

2025年、Coinbaseは800万のアクティブアカウントを保有し、世界最大のビットコインカストディアンとして240万BTCを保有していました。これはビットコイン全供給量の12%以上に相当します。

Coinbaseは以下の補完的なサービスを提供しています：

• Coinbase One、取引手数料ゼロ、ステーキング報酬の増加、暗号税計算機や暗号リサーチなどのパートナーとの特典を提供するプレミアム会員サービス。
• Coinbase Advanced、プロの暗号トレーダー向け。
• Coinbase Wallet、取引所外での暗号通貨およびNFTの自己管理用。
• Coinbase Earn、暗号通貨所有者が自分の暗号資産をロックし、ネットワークから利子を得るステーキングサービスで、2023年にはCoinbaseの顧客が2億3000万ドルを獲得しました。
• Coinbase Card、暗号通貨で購入できるVisaデビットカードで、米ドルで支払うと1%がビットコインで、ETHで支払うと1.5%がUSDCで還元されます。Visaデビットカードが受け入れられる場所ならどこでも利用可能です。
• USD Coin、米ドルと同等の価値を持つデジタルステーブルコインで、“デジタルドル”の創出を目指しています。

Coinbaseは多数のビットコインETFの重要なパートナーであり、ビットコインのカストディを担当しているため、これら製品における業界の重要なプレイヤーであり、ETF保有を個人・機関投資家にとって容易にしています。

最近、Coinbaseは自社株式（およびその他の証券）の“トークン化”に積極的に取り組んでおり、現在NASDAQに通常通り上場されています。

初期の野心的なスタートから、Coinbaseは米国市場を中心にビットコインと暗号産業の基盤となるまで成長しました。

しかし、これまで順調とは言えず、Coinbaseはサイバーセキュリティ攻撃や不透明な規制、SECによる訴訟に対処し、顧客サービスや安全プロトコルが企業の成長に追いつく必要がありました。

暗号領域（そしてすべての投資）では変動性とリスクは当然であり、量子コンピューティングがいくつかの混乱をもたらす可能性があります。

いずれにせよ、現在の成熟した支配的なCoinbaseは、ビットコインETF、ステーブルコイン、株式トークン化といったトレンドの拡大により、暗号がますます主流になることを活かす好位置にあります。

Coinbaseに関する詳細は、当社の投資レポート（同社専用）をご覧ください。

最新のCoinbase（COIN）株式ニュースと開発状況