Google、暗号資産の量子脆弱性を巡るホワイトペーパーを公表

本記事の主要内容

Google Quantum AI は 3 月 31 日、暗号資産の量子コンピュータによる脆弱性に関するホワイトペーパーを公表した。Google Researchも同日付の公式ブログでその内容を紹介し、暗号資産の取引で広く用いられる楕円曲線暗号の解読に必要な計算資源が従来見積もりの約 20 分の 1 に縮小したと試算した。これにより、送金時に公開鍵が露出する「on-spend 攻撃」に対し、過去に公開鍵が露出したアドレスにある約 690 万 BTC 相当の資産が早期に標的となり得るリスクが示唆されている。Google は量子コンピュータの実用化には猶予があるとの見解を示しつつも、業界に対し耐量子暗号への移行を早急に進めるよう促している。

Google Quantum AIは3月31日、暗号資産の量子脆弱性に関するホワイトペーパー「Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations」を公表しました。Google Researchも同日付の公式ブログで、暗号資産で広く用いられる楕円曲線暗号について、将来の量子コンピューターにより、従来想定より少ない資源で解読される可能性があると説明しました。その上で、業界に対し、*耐量子暗号（PQC）への対応を急ぐよう呼びかけました。

必要な量子計算資源、従来見積もりより縮小

ホワイトペーパーでは、256ビット*楕円曲線暗号を破るために必要な量子計算資源について、新たな見積もりを示しました。Google Researchの説明によると、2つの回路設計のうち一方は1200未満の*論理量子ビットと9000万未満の*Toffoliゲート、もう一方は1450未満の論理量子ビットと7000万未満のToffoliゲートを必要とします。また、標準的な前提では、50万未満の物理量子ビットで数分以内の実行が可能になるとしており、Googleは従来の推計に比べて必要な*物理量子ビット数が約20分の1に縮小したと説明しています。

今回の公表は、量子コンピューターによる暗号資産への脅威が直ちに現実化することを示すものではありません。その規模の耐障害性量子コンピューターの実現には、なお時間を要するとみられます。一方でGoogleは、必要資源の見積もり低下により、量子リスクを遠い将来の課題として先送りしにくくなったとの認識を示しています。

送金時の公開鍵を狙う「on-spend」攻撃に焦点

白書が特に重視しているのは、送金時に公開鍵が露出する局面を狙う、いわゆる「on-spend」攻撃です。十分な性能を備えた量子コンピューターが実現した場合、攻撃者が短時間で秘密鍵を逆算し、送金を横取りする可能性があると指摘しました。ホワイトペーパー本文でも、最初の高速な暗号学的に意味のある量子コンピューターが、一部の暗号資産に対する公開メンプール取引への攻撃を可能にし得るとしています。

また白書は、執筆時点で約690万BTCが量子攻撃に対して脆弱な状態にあるとの見方も示しました。これは、過去に公開鍵が露出したことのあるアドレスや、鍵の再利用が行われたケースなどを踏まえた推計です。量子計算機が実用段階に達した場合、既存資産の一部が早期に標的となる可能性があることを示唆しています。

Google、耐量子暗号への移行を対応策に位置付け

今回の発表にあたり、Googleはゼロ知識証明を用いて推計の妥当性を検証可能にする手法も示しました。Google Researchは、悪意ある者に攻撃の詳細な手順を与えない形で脆弱性を共有するための方法だと説明しています。

Googleは対応策として、耐量子暗号への移行を中心に据えています。分散型ネットワークであるブロックチェーンの移行には膨大な時間を要するため、脅威が顕在化してからでは対応が間に合わない可能性があるとしています。

今回のホワイトペーパーは、暗号資産が量子コンピューターによって直ちに無効化されると示したものではありません。ただ、量子リスクを抽象的な将来懸念ではなく、移行準備を要する実務課題として提示した点で、業界に与える影響は小さくないとみられます。Googleの問題提起は、暗号資産の安全性を量子時代にどう維持するかという議論を、より具体的な段階へ進めるきっかけになるとみられます。