原文著者：@Cointelegraph

原文翻訳：AididiaoJP、Foresight News

本稿は、BIP-360がどのようにビットコインの量子耐性戦略を再構築するかについて説明し、その改善点を分析し、なぜ完全なポスト量子セキュリティがまだ実現されていないのかを考察する。

核心ポイント

• BIP-360は初めて量子耐性をビットコインの開発ロードマップに正式に組み入れ、これは急進的な暗号システムの変更ではなく、慎重で漸進的な技術進化の始まりを意味する。
• 量子リスクは主に公開された公開鍵を脅かし、ビットコインが採用するSHA-256ハッシュアルゴリズムを脅かすものではない。したがって、公開鍵の露出を減らすことが開発者が取り組む核心的なセキュリティ問題となっている。
• BIP-360は、支払い先マークルルート（P2MR）スクリプトを導入し、Taprootアップグレードにおける鍵パス支払いオプションを削除することで、すべてのUTXOの支払いをスクリプトパス経由で行うことを強制し、楕円曲線公開鍵の露出リスクを最大限に低減する。
• P2MRはスマートコントラクトの柔軟性を保持し、依然としてTapscriptマークルツリーを通じてマルチシグ、タイムロック、複雑なカストディ構造をサポートする。

ビットコインの設計哲学は、厳しい経済的、政治的、技術的課題に耐えることを可能にしている。2026年3月10日現在、その開発チームは新たな技術的脅威である量子コンピューティングへの対応に着手している。

最近発表されたビットコイン改善提案360（BIP-360）は、初めて正式に量子耐性をビットコインの長期的な技術ロードマップに掲げた。一部のメディア報道はこれを大きな変革として描く傾向があるが、実際の状況はより慎重で段階的である。

本稿では、BIP-360がどのように支払い先マークルルート（P2MR）スクリプトを導入し、Taprootの鍵パス支払い機能を削除することで、ビットコインの量子リスクエクスポージャーを低減するかを深く掘り下げる。本稿は、この提案の改善点、導入されるトレードオフ、そしてなぜそれがまだビットコインを完全なポスト量子セキュアにすることができないのかを明らかにすることを目的としている。

量子コンピューティングがビットコインを脅かす源泉

ビットコインのセキュリティは、主に楕円曲線デジタル署名アルゴリズム（ECDSA）およびTaprootアップグレードで導入されたSchnorr署名に基づく暗号学の基礎の上に構築されている。従来のコンピューターでは、公開鍵から秘密鍵を逆算することは現実的な時間内では不可能である。しかし、十分な能力を持つ量子コンピューターがショアのアルゴリズムを実行すれば、楕円曲線離散対数問題を解き、秘密鍵のセキュリティを危険にさらす可能性がある。

重要な違いは以下の通り：

• 量子攻撃は主に公開鍵暗号システムを脅かし、ハッシュ関数を脅かすものではない。 ビットコインが採用するSHA-256アルゴリズムは量子コンピューティングに対して比較的堅牢である。グローバーのアルゴリズムは指数関数的な加速ではなく、二次的な加速効果しか提供しない。
• 真のリスクは、公開鍵がブロックチェーン上で公開される瞬間にある。

これに基づき、コミュニティは一般的に公開鍵の露出を主要な量子リスク源と見なしている。

2026年におけるビットコインの潜在的な脆弱性

ビットコインネットワーク内の様々なアドレスタイプは、将来の量子脅威に対して異なる程度のリスクに直面している：

• 再利用アドレス：資金がそのアドレスから使用されるとき、その公開鍵はチェーン上で公開され、将来暗号関連量子コンピューター（CRQC）が出現した場合、その公開鍵はリスクにさらされる。
• レガシーな公開鍵への支払い（P2PK）アウトプット：初期のビットコイン取引は直接公開鍵を取引のアウトプットに書き込んでいた。
• Taproot鍵パス支払い：Taprootアップグレード（2021年）は2つの支払いパスを提供した：1つは簡潔な鍵パス（支払い時に調整された公開鍵が露出する）、もう1つはスクリプトパス（マークル証明を通じて具体的なスクリプトが露出する）。このうち、鍵パスは量子攻撃下での主要な理論的弱点である。

BIP-360はまさにこの鍵パス露出問題に直接対処するために設計されている。

BIP-360の核心内容：P2MRの導入

BIP-360提案は、支払い先マークルルート（P2MR）という新しいアウトプットタイプを追加する。このタイプは構造的にTaprootを参考にしているが、一つの重要な変更を加えている：鍵パス支払いオプションを完全に削除したことである。

Taprootが内部公開鍵をコミットするのに対し、P2MRはスクリプトツリーのマークルルートのみをコミットする。P2MRアウトプットを使用するプロセスは以下の通り：

スクリプトツリー内の一つのリーフスクリプトを明らかにする。

そのリーフスクリプトがコミットされたマークルルートに属していることを証明するマークル証明を提供する。

このプロセス全体において、公開鍵に基づく支払いパスは存在しない。

鍵パス支払いの削除による直接的な影響は以下の通り：

• 直接署名検証を行うことによる公開鍵の露出を回避する。
• すべての支払いパスが、量子耐性の強いハッシュベースのコミットメントに依存する。
• 長期間チェーン上に存在する楕円曲線公開鍵の数が大幅に減少する。
• 楕円曲線仮定に依存するスキームと比較して、ハッシュベースの方法は量子攻撃に対する耐性において顕著な優位性を持ち、潜在的な攻撃対象領域を大幅に縮小する。

BIP-360が保持する機能

一般的な誤解は、鍵パス支払いを放棄するとビットコインのスマートコントラクトやスクリプト機能が弱まるというものだ。実際には、P2MRは以下の機能を完全にサポートする：

• マルチシグ構成
• タイムロック
• 条件付き支払い
• 資産相続スキーム
• 高度なカストディ手配

BIP-360はTapscriptマークルツリーを通じて上記のすべての機能を実現する。このスキームは完全なスクリプト能力を保持しながら、便利だが潜在的なリスクを持つ直接署名パスを捨てている。

背景知識：サトシ・ナカモトは初期のフォーラム討論で量子コンピューティングに簡単に言及し、もしそれが現実になれば、ビットコインはより強力な署名スキームに移行できると考えていた。これは、将来のアップグレードのための柔軟性を残すことが、その初期設計思想の一部であったことを示している。

BIP-360の実践的影響

BIP-360は純粋な技術的改良のように見えるが、その影響はウォレット、取引所、カストディサービスなど広範な層に及ぶ。提案が採用されれば、新しいビットコインアウトプットの作成、使用、保管の方法を徐々に再形成し、特に長期的な量子耐性を重視するユーザーに深い影響を与えるだろう。

• ウォレットサポート：ウォレットアプリケーションは、「量子強化」オプションとして、ユーザーが新規コインを受け取ったり長期保有資産を保管したりするためのオプションのP2MRアドレス（おそらく「bc1z」で始まる）を提供する可能性がある。
• 取引手数料：スクリプトパスを採用するとより多くのウィットネスデータが導入されるため、P2MR取引はTaproot鍵パス支払いと比較してわずかに大きくなり、取引手数料がわずかに増加する可能性がある。これはセキュリティと取引のコンパクトさの間のトレードオフを示している。
• エコシステム連携：P2MRの完全な展開には、ウォレット、取引所、カストディ機関、ハードウェアウォレットなど、関係者による対応する更新が必要である。関連する計画と調整作業は数年単位で事前に開始する必要がある。

背景知識：各国政府はすでに「先に収集し、後で復号する」リスク、すなわち現在大量の暗号化データを収集・保存し、将来量子コンピューターが登場した後に解読する戦略に注目し始めている。この戦略は、ビットコインの公開された公開鍵に対する潜在的な懸念と全く同じである。

BIP-360の明確な限界

BIP-360はビットコインの将来の量子脅威に対する防御能力を強化するが、それは徹底的な暗号システムの再構築ではない。その限界を理解することも同様に重要である：

• 既存資産の自動アップグレードなし：すべての古い未使用取引出力（UTXO）は、ユーザーが自発的に資金をP2MR出力に移動させるまで、その脆弱性が残る。したがって、移行プロセスは完全にユーザーの個々の行動に依存する。
• 新しいタイプのポスト量子署名の導入なし：BIP-360は、既存のECDSAやSchnorr署名に代わる、格子ベースの署名スキーム（DilithiumやML-DSAなど）やハッシュベースの署名スキーム（SPHINCS+など）を採用していない。それはTaproot鍵パスがもたらす公開鍵露出パターンを削除するだけである。基礎レイヤーでポスト量子署名への完全な移行を行うには、はるかに大規模なプロトコル変更が必要となる。
• 絶対的な量子免疫を提供しない：たとえ将来突然実用的なCRQCが出現したとしても、その衝撃に耐えるには、マイナー、ノード、取引所、カストディ機関の間での大規模で強力な協調対応が必要である。長期間動いていない「休眠コイン」は複雑なガバナンス問題を引き起こし、ネットワークに大きな圧力をかける可能性がある。

開発者が前向きに計画する動機

量子コンピューティングの技術的発展経路は不確実性に満ちている。一部の見解では、その実用化にはまだ数十年かかるとされているが、他の見解では、IBMの2020年代後半のフォールトトレラント量子コンピューター目標、Googleの量子チップにおけるブレークスルー、Microsoftのトポロジカル量子コンピューティング研究、そして米国政府が設定した2030-2035年の暗号システム移行期限は、関連する進展が加速していることを示唆している。

重要なインフラストラクチャの移行には長い時間サイクルが必要である。ビットコインの開発者たちは、BIP設計、ソフトウェア実装、インフラストラクチャ適応、ユーザー採用など、あらゆる段階で体系的な計画を行う必要があると強調している。量子脅威が差し迫ってから行動を起こすのでは、時間不足で受動的な立場に陥る可能性がある。

コミュニティが広範なコンセンサスに達すれば、BIP-360は段階的なソフトフォーク方式で推進される可能性がある：

• P2MR新規アウトプットタイプの活性化。
• ウォレット、取引所、カストディ機関が徐々にそのサポートを追加。
• ユーザーが数年にわたって段階的に資産を新アドレスに移行。

このプロセスは、かつてのSegWit（Segregated Witness）やTaprootアップグレードが経験した、オプションから広く普及するまでの経路と類似している。

BIP-360をめぐる広範な議論

BIP-360の実施の緊急性とその潜在的なコストについては、コミュニティ内で継続的な議論が存在する。核心的な議題は以下の通り：

• 長期保有者にもたらされるわずかな手数料増加は受け入れられるか？
• 機関投資家は率先して資産移行を行い、模範的効果を発揮すべきか？
• 決して移動されることのない「眠っている」ビットコインは、どのように適切に処理すべきか？
• ウォレットアプリケーションは、不必要なパニックを引き起こさず、効果的な情報を提供しながら、ユーザーに「量子セキュア」の概念をどのように正確に伝えるべきか？

これらの議論は現在も進行中である。BIP-360の提案は関連する議題の深い議論を大きく促進したが、すべての問題に終止符を打つには程遠い。

背景知識：量子コンピューターが現在の暗号学を破る可能性があるという理論的構想は、数学者ピーター・ショアがショアのアルゴリズムを提案した1994年にまで遡ることができ、これはビットコインの出現よりずっと前のことである。したがって、ビットコインの将来の量子脅威に対する計画は、本質的にこの30年以上前の理論的ブレークスルーへの対応である。

ユーザーが現在取れる対策

現在、量子脅威は差し迫ったものではなく、ユーザーは過度に心配する必要はない。しかし、いくつかの慎重な対策を取ることは有益である：

• アドレスの再利用禁止の原則を堅持する。
• 常に最新バージョンのウォレットソフトウェアを使用する。
• ビットコインプロトコルアップグレードに関する動向に注目する。
• ウォレットアプリケーションがいつP2MRアドレスタイプのサポートを開始するかに注意する。
• 大量のビットコインを保有するユーザーは、静かに自身のリスクエクスポージャーを評価し、対応するcontingency計画を立てることを検討すべきである。

BIP-360：量子耐性時代への第一歩

BIP-360は、ビットコインがプロトコルレベルで量子リスクエクスポージャーを減らすための最初の具体的な一歩を踏み出したことを意味する。それは新しいアウトプットの作成方法を再定義し、公開鍵の意図しない漏洩を最小限に抑え、将来の長期的な移行計画の基礎を築いた。

それは既存のビットコインを自動的にアップグレードせず、現在の署名システムを保持し、真の量子耐性セキュリティの実現には、単一のBIP提案で一気