1. 何があったのか
2つの分析を整理する。
論文1はCraig Gidney著How to factor 2048 bit RSA integers with less than a million noisy qubits(arXiv:2505.15917、2025年5月公開)。2048ビットRSA鍵を100万量子ビット未満・1週間未満で因数分解できると見積もった。著者自身が2019年に発表した20分の1の量子ビット数で、ほぼ20倍の縮小に相当する。
論文2はGoogle Quantum AIの白書Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly(2026年3月30日公開、57ページ)。Ethereum FoundationのJustin Drake氏とスタンフォード大学のDan Boneh氏が共著。256ビット楕円曲線離散対数問題(ECDLP-256、Bitcoinやイーサリアムが使用)を50万量子ビット未満・数分で解く回路を提示した。従来見積もり(Litinski 2023、約900万光子量子ビット)から20倍の縮小。攻撃回路の詳細はゼロ知識証明で検証可能にしつつ、攻撃手段の流出を防ぐ責任ある開示の手法を取った。
両論文に共通するのは、量子ビット数を桁違いに減らした主因がハードウェアではなくアルゴリズム最適化とコンパイル技術の進歩である点。すなわち、量子ハードウェアの進展に頼らずに、攻撃側のリソース見積もりが急速に下がっているということになる。
2. なぜ今までできなかったのか
そもそもRSAやECCを量子コンピュータで破るには、1994年にPeter Shorが発表したShorアルゴリズムが必要になる。理論的には1994年から脅威は存在していたが、現実には次の壁があった。
ポイントを整理する。
必要となる物理量子ビット数が膨大だった。RSA-2048には2019年時点で2,000万量子ビット、ECDLP-256には数百万から1,000万量子ビットが必要とされていた。
現在の量子コンピュータ(Google Willow 105量子ビット、IBM Condor 1,121量子ビットなど)とは桁が数桁違い、現実味が薄いとされていた。
量子ゲートの精度(エラー率0.1%以下)と動作時間(数日〜数週間連続稼働)も現実離れしていた。
そのため業界全体で2030年代後半〜2040年代の脅威と認識され、PQC移行も中長期計画として進められていた。
例えるなら、銀行の金庫を破るのに10階建てビル分のドリルが必要だと言われていた状況。理論的には可能だが、ドリルが大きすぎて現実の脅威ではなかった。今回の成果は同じ金庫を破るのに、住宅サイズのドリルで足りると判明したようなもので、現実性のレベルが一段上がった。
そして今までできなかったのではなく必要量子ビット数の見積もりが過大だったと判明したことが本質。アルゴリズム側の余地がまだ残っていたことを示している。
3. 既存技術との比較(リソース見積もりの推移)
対象 | 従来見積もり | 今回見積もり | 縮小率 |
|---|---|---|---|
RSA-2048 物理量子ビット数 | 2,000万(Gidney+Ekerå 2019) | 100万未満(Gidney 2025) | 約20倍縮小 |
RSA-2048 計算時間 | 8時間 | 1週間未満 | 時間と空間のトレードオフ |
RSA-2048 Toffoli ゲート数 | 約30億(2019年方式) | 約65億 | 約2倍増(空間効率優先) |
ECDLP-256 物理量子ビット数 | 900万(Litinski 2023、光量子) | 50万未満 | 約20倍縮小 |
ECDLP-256 論理量子ビット数 | ー | 約1,200(低量子ビット版) | ー |
ECDLP-256 Toffoli ゲート数 | ー | 7,000万〜9,000万 | RSAの約100分の1 |
ECDLP-256 計算時間 | ー | 数分 | on-spend攻撃可能水準 |
4. どうやって実現したのか
最初に用語を整理する。
Shorアルゴリズムは、Peter Shorが1994年に発表した量子アルゴリズム。大きな数の素因数分解と離散対数問題を多項式時間で解く。RSAは前者、ECCは後者の難しさで安全性を確保しているため、両方ともShorで破られる。
物理量子ビットは実際のハードウェア上の量子ビット。論理量子ビットは誤り訂正符号(表面符号など)で構成される、誤りを訂正された量子ビット。1論理量子ビットあたり数百〜数千の物理量子ビットが必要とされる。
Toffoliゲートは3量子ビットゲートで、量子計算の基本要素の1つ。誤り耐性量子計算でコストが高い操作で、アルゴリズムの効率を測る指標になる。
CRQC(Cryptographically Relevant Quantum Computer)は、現実の暗号システムを脅かす規模の量子コンピュータ。
Gidney 2025論文の量子ビット削減は、主に3つの技術革新による。1つめは近似剰余演算(Chevignard+Fouque+Schrottenloher 2024)で、Shorアルゴリズムの中核である剰余べき乗演算を、巨大な量子レジスタを使わず近似計算で行う方式。2つめはYoked surface codes(Gidney+Newman+Brooks+Jones 2023、Nature Communications 2025)で、待機中の論理量子ビットを密に詰めて格納する誤り訂正符号の改良。3つめはMagic state cultivation(Gidney+Shutty+Jones 2024)で、誤り耐性計算に必要なマジック状態を生成する効率を、CNOTゲート並みの低コストに引き下げる手法。これらにより、量子ビット数を従来の20分の1に抑えつつ、ゲート数の増加を約2倍に留めることに成功した。
Google Quantum AI白書のECDLP-256攻撃は、2つの量子回路を提示する。低量子ビット版は1,200論理量子ビットと9,000万Toffoliゲート、低ゲート版は1,425論理量子ビットと7,000万Toffoliゲート。表面符号、平面度数4の接続性、物理エラー率10⁻³、1マイクロ秒のコードサイクル、10マイクロ秒の制御系反応時間という前提のもとで、50万未満の物理量子ビットに収まる。
ECCがRSAより早く破られる理由は、必要Toffoliゲート数が約100分の1で済むため。さらにShorアルゴリズムはプライミングが可能で、計算の前半(曲線パラメータのみに依存)を事前計算できるため、攻撃の実行時間が分単位に縮む。
5. 何ができたのか(成果)
指標 | RSA-2048(Gidney 2025) | ECDLP-256(Google 2026) |
|---|---|---|
物理量子ビット数 | 100万未満 | 50万未満 |
論理量子ビット数 | 約4,096 | 約1,200(低量子ビット版) |
Toffoliゲート数 | 約65億 | 7,000万〜9,000万 |
計算時間 | 1週間未満 | 数分 |
物理エラー率の前提 | 0.1% | 10⁻³(0.1%) |
コードサイクル時間 | 1マイクロ秒 | 1マイクロ秒 |
連続動作時間 | 5日間 | 数分 |
縮小幅(従来比) | 約20倍縮小 | 約20倍縮小 |
ハードウェア前提 | 超伝導+表面符号 | 超伝導+表面符号 |
技術的意義は3点に整理できる。
1つめは、現在の量子コンピュータからの距離が定量的に縮まった点。100万量子ビットや50万量子ビットは依然として現状(数千量子ビット)から遠いが、Caltechの6,100中性原子配列やGoogleの誤り訂正進展を踏まえると、2030年代半ばまでに到達不可能な数字ではないとみられる。
2つめは、ECDLP-256攻撃が数分で完了する点。これがon-spend攻撃という新しい脅威モデルを生む。Bitcoinの送金トランザクションが公開メモリプール(mempool)に流れた瞬間、攻撃者が公開鍵から秘密鍵を逆算し、別の宛先への偽トランザクションを先にブロックに書き込む攻撃が現実的になる。Bitcoinのブロック時間(平均10分)、Bitcoin Cashのブロック時間内に攻撃が完了する可能性が示唆されている。
3つめは、開示手法そのもののイノベーション。Google白書はゼロ知識証明(具体的にはGroth16 SNARK)を使って攻撃回路の存在と性能を証明しつつ、回路自体は公開しないという責任ある開示の枠組みを示した。これは今後の量子暗号解析研究のスタンダードになる可能性がある。一方で、独立検証が困難になるトレードオフも生まれる。
6. この技術が広がると何が起きるか
応用と社会影響を整理する。
領域 | インパクト |
|---|---|
公開鍵暗号インフラ | RSA、ECCを使う全てのWeb通信、金融取引、認証システムが影響を受ける |
暗号通貨 | Bitcoin、Ethereum、その他ECDSA系の通貨が脆弱性に晒される |
国家安全保障 | Harvest Now, Decrypt Later攻撃で過去の通信が将来解読される可能性 |
デジタル署名 | 政府電子証明書、コード署名、SSL/TLS証明書の信頼性 |
ブロックチェーンウォレット | 公開鍵が露出した古いアドレスから資金が引き出される可能性 |
PQC移行産業 | 耐量子暗号アルゴリズム実装ビジネスが急拡大の可能性 |
量子セキュリティ通信 | QKD(量子鍵配送)、PQC、それぞれの市場が活性化 |
社会的意義として最も重要なのは2点ある。
第1に、いつの問題がもう動かないと間に合わないに変わりつつある点。米NISTは2024年8月にPQC標準アルゴリズム(ML-KEM、ML-DSA、SLH-DSA)を最終化し、2030年までの脆弱アルゴリズム廃止、2035年までの禁止を推奨している。Gidney氏も論文で2030年以降の廃止、2035年以降の禁止を主張。Google自身も2029年までに社内PQC移行を完了する目標を発表したと報じられている。
第2に、Harvest Now, Decrypt Later(HNDL)攻撃の現実性。今この瞬間に暗号化通信を傍受・蓄積しておき、将来の量子コンピュータで解読する戦略は、各国情報機関が既に実行している可能性があるとされる。今回のリソース見積もり縮小は、HNDL攻撃の経済合理性を一気に高める材料になる。
暗号通貨に関しては特に深刻で、ブロックチェーンに記録された全ての公開鍵が永続的に公開されるため、過去のトランザクションも将来的に解読対象になる。BitcoinのSatoshi由来のアドレスや、初期の公開鍵露出アドレスは、量子コンピュータ登場時に最初の標的になる可能性が指摘されている。
7. 関連企業・市場動向
企業 | 関連分野 | ティッカー |
|---|---|---|
Alphabet (Google) | 量子計算、暗号解析、Cloud KMS | GOOGL |
Microsoft | Azure Quantum、PQC実装 | MSFT |
IBM | 量子計算、Z OS暗号 | IBM |
Cloudflare | PQC対応TLS、エッジセキュリティ | NET |
Palo Alto Networks | サイバーセキュリティ、PQC対応 | PANW |
CrowdStrike | エンドポイントセキュリティ | CRWD |
Thales | HSM、PQC移行支援 | |
Entrust | デジタル証明書、PQC | 非上場 |
DigiCert | PKI、PQC証明書 | 非上場 |
SEALSQ | 半導体ベースPQC | LAES |
Arqit Quantum | 量子鍵配送・対称鍵PQC | ARQQ |
Quantum Computing | フォトニック量子+量子セキュリティ | QUBT |
ID Quantique | QKDシステム(SK Telecom傘下) | 非上場 |
Bitcoin/Ethereum関連 | 暗号通貨インフラ | COIN、MSTRなど |
投資視点で整理すると、量子脅威の早期化はPQC移行関連ビジネスへの追い風になる可能性がある。特に半導体レベルでPQCを実装するSEALSQ(LAES)や、対称鍵ベースの量子セーフ通信を提供するArqit Quantum(ARQQ)は、ニュースに対する株価反応が大きい傾向がある。クラウドセキュリティ大手のCloudflare、Palo Alto Networks、CrowdStrikeなどは既にPQC対応を進めており、企業側のPQC移行需要の受け皿となる可能性がある。
一方、暗号通貨関連銘柄(Coinbase、MicroStrategyなど)にとっては、量子脅威が中長期のリスク要因として認識される可能性がある。Bitcoinコミュニティでは既にBIP-360などの量子耐性アドレス提案が議論されているが、ハードフォーク級の変更が必要となるため、合意形成と移行に時間を要する。
なお投資判断は読者各自の責任で行うべきであり、本記事は技術解説を目的としている。量子セキュリティ関連銘柄はテーマ性が強く、株価ボラティリティが極めて高い点に注意したい。
8. 課題と今後の展望
冷静に見るべき残課題は多い。
第1に、依然として必要な量子ビット数(数十万〜100万)は現状から大きく離れている。Caltechの6,100中性原子配列、Google Willowの105量子ビット、Zuchongzhi 3.2の107量子ビットといった現状から、エラー訂正された数千の論理量子ビットを安定動作させるには複数のブレークスルーが必要になる。リアルタイムでテラバイト級の測定データをデコードする工学的課題も未解決のまま。
第2に、Q-Day(量子コンピュータが現実の暗号を破る日)の時期について業界コンセンサスは存在しない。楽観派は2035年以降とみる一方、悲観派は2030年代前半を警戒している。今回の見積もり縮小は楽観派の予想を侵食する材料となる。
第3に、PQC移行自体の課題。NISTが標準化したアルゴリズム(ML-KEM、ML-DSA、SLH-DSA)は鍵サイズや署名サイズが従来のRSA・ECCより大きく、IoT機器やブロックチェーンなど制約環境での実装には工夫が必要。また、PQCアルゴリズム自体も将来的に攻撃される可能性がゼロではなく、暗号アジリティ(複数アルゴリズムを切り替え可能にする設計)が重要になるとみられる。
第4に、ゼロ知識証明による責任ある開示の是非。Google白書のアプローチは攻撃手段の流出を防ぐ意味で評価される一方、独立検証を困難にする副作用がある。研究コミュニティが今後この開示モデルを採用すれば、量子暗号解析は完全な透明性から検証可能だが不透明な主張へと移行する可能性があり、防御側の移行時間軸の見積もりが難しくなる懸念がある。
業界全体の動きとして、2025年から2026年にかけて3つの重要論文(Gidney 2025、Chevignard+ 2024、Google ECDLP白書 2026)が発表され、量子脅威の時間軸が短期間で大きく書き換わったとされる。次のマイルストーンは、これらの理論見積もりが実際の量子ハードウェア進展とどこで交差するか。中性原子の急速なスケーリング(Caltech 6,100、目標数万)、超伝導の誤り訂正進展(Willow、Zuchongzhi 3.2の閾値以下動作)が続けば、2030年代前半に実証実験レベルで小規模なShorアルゴリズムが動く可能性も否定できない。
防御側の時間軸として、米連邦政府機関は2035年までのPQC移行を義務付けられており、金融機関も同様の方針を採用しつつある。日本では政府機関や金融機関がCRYPTREC(暗号技術評価委員会)の方針に従い、PQC移行を進めている段階。今回の論文群は、これらの移行計画を前倒しする圧力として機能する可能性がある。