カナダの量子技術企業BTQ Technologies(ナスダック:BTQ)は20日、ビットコイン改善提案「BIP 360」の世界初の動作実装をテストネット上で公開した。量子コンピュータによる将来の攻撃を想定し、Taprootの脆弱性を除去する新たな出力形式「Pay-to-Merkle-Root(P2MR)」を実装したもので、bitFlyer創業者の加納裕三氏もX(旧Twitter)で紹介するなど国内外で反響を呼んだ。しかし、国内の著名ブロックチェーン技術者からはすぐに反論が寄せられた。BIP 360は本当にビットコインの量子耐性を前進させるのか。論争の構造と現状を整理する。
BIP 360テストネットが問いかけるもの
BTQ Technologiesが公開した「Bitcoin Quantum テストネット v0.3.0」は、2026年2月にビットコイン公式BIPリポジトリへのマージが承認されたBIP 360の、世界初の動作実装を含む。実装にはSegWit v2出力(bc1zアドレス)による完全なP2MRコンセンサス、量子耐性署名アルゴリズムであるDilithium(ML-DSA)の5つのオペコード有効化、および取引の作成・署名・送信を網羅するCLIウォレットツールが含まれる。テストネットにはすでに50名以上のマイナーが参加し、10万ブロック以上が採掘されており、開発者・研究者・機関が量子耐性取引の動作を検証できるライブ環境となっている。
BIP 360が標的とする脆弱性は、2021年に有効化されたTaprootアップグレードに由来する。Taprootのkeypath spend設計は公開鍵をオンチェーン上に露出させるため、将来、量子コンピュータが十分な能力を持った段階で、Shorのアルゴリズムによる秘密鍵の逆算攻撃に対して脆弱になる可能性がある。P2MRはこのkeypath spendを廃止し、支出条件をスクリプトツリーのMerkleルートにコミットする設計で、Lightning Network・BitVM・Arkといったビットコインのスケーリング基盤が依存するTapscript機能との互換性を維持しながら、長期露出型の量子攻撃リスクを軽減することを目的とする。
一方、BIP 360がBitcoin Core本体でまだドラフト提案にとどまる以上、この実装はビットコイン本体の仕様変更を意味しない。今回のテストネットはあくまで並行環境での先行実験であり、メインネットへの反映にはコミュニティ全体の合意形成が別途必要だ。
「keypath削除」は量子耐性か否か――専門家の反論
加納裕三氏は3月20日、Xにこの発表を紹介する投稿を行い、「TaprootのVulnerableなkey-path spendをPay-to-Merkle-Root(P2MR)で置き換え、Lightning時代の実用性を維持しつつ、将来の量子攻撃リスクを軽減する」と解説した。日本の暗号資産業界の草分けによるこの肯定的な発信は、2.7万のインプレッションを集めた。
しかし、国内ブロックチェーン研究者の安土茂亨氏(@techmedia_think)は22日、真っ向から異論を唱えた。
「BIP-360のP2MRはTaprootからkeypath削除した仕様に過ぎず、本質的にBitcoinに量子耐性をもたらすものではありません。これで量子耐性が進歩するのであれば、P2PKHが利用可能な初期の頃から同じ量子耐性をBitcoinは持っています」という指摘だ。
この批判は技術的に的確な部分を含む。P2MRは開発者が「長期露出」と呼ぶ脅威、すなわち公開鍵がチェーン上に長期間存在することで生じる攻撃リスクに対処するものであり、ポスト量子署名アルゴリズムを導入するものではなく、メンプール滞留中の短期露出リスクも解決しない。
BIP 360の共同著者でMARAのシニアプロトコルエンジニアを務めるHunter Beast氏は、量子耐性をめぐる議論が活発化する中、Xで自らの立場を明確にした。「BIP 360は依然として大きなセキュリティ改善だ。暗号技術を使用しており、長期露出の脆弱性に対処している」と述べ、過小評価する見方を否定している。
ただし、安土氏の批判が「BIP 360は無意味」を意味するかどうかは別問題だ。P2PKH(Pay-to-Public-Key-Hash)アドレスは公開鍵の送信前ハッシュ化により一定の隠蔽効果を持つが、資金の支出時に公開鍵がチェーン上に記録される点は同じであり、その後は量子攻撃の対象となりうる。つまり「P2PKHと同じ」という指摘は正確だが、それはP2MRが既存の最善策と同等の防御水準を持つことを示しているとも読める。
量子リスクの「規模」をめぐる数字の攻防
量子リスクの象徴として、しばしば言及されるのがサトシ・ナカモト氏の初期ウォレットだ。ライトコイン創設者のチャーリー・リー氏は3月13日、サトシ氏の初期ウォレットがP2PK型の取引スクリプトを使用しており、公開鍵が直接露出しているため量子攻撃者にとって格好の標的になると警告した。仮にサトシ氏がすでに死亡しているとすれば、該当するコインを量子耐性のあるウォレットへ移動させる者は存在しない。リー氏はビットコインコミュニティがサトシ保有分の扱いを巡り、技術的のみならず哲学的な議論にも直面していると指摘した。BlackRockも自社のiShares Bitcoin Trust目論見書において量子コンピュータをリスク要因として明記しており、機関投資家レベルでも量子リスクへの認識が高まっている。
これに対し、デジタル資産運用会社CoinSharesは2026年2月のレポートで、市場を混乱させるほどの被害をもたらすビットコイン盗難が量子攻撃によって実現する可能性を低く見積もり、リスクを過大評価すべきではないと論じた。専門家が量子コンピュータによるビットコインの暗号解読が可能になるまでの期間として示す見通しは、概ね5年から15年の範囲にある。現時点では量子コンピュータはビットコインの暗号を破る能力を持っておらず、「差し迫った脅威」ではないという点では、楽観論者・悲観論者双方の意見が一致している。
問題はタイムラインだ。Casa共同創業者でビットコイン開発者のジェイムソン・ロップ氏は、ビットコインをポスト量子暗号へ移行させるプロセスには少なくとも5年から10年を要するとした上で、中央集権的なソフトウェアと異なり、分散型プロトコルのビットコインには「集団行動の問題」が内在していると指摘した。この点でこそ、BIP 360の実用実装が持つ意義が問われる。
論争の本質は「いつ動くか」にある
BIP 360をめぐる議論を整理すると、両者の主張は対立しているようで、実は前提が異なるだけだ。安土氏の指摘は「P2MRそれ単体では完全な量子耐性を実現しない」という技術的事実として正しい。他方、BIP 360の提唱者や実装者が主張するのは「完成形」ではなく「ロードマップの起点」としての価値だ。この文脈のズレが論争を無用に激化させている。
重要なのは、BIP 360は量子耐性をビットコインの長期技術ロードマップに初めて公式に組み込んだ提案であり、現実は劇的な転換ではなく慎重かつ段階的な技術進化として進んでいるという点だ。テストネットの価値もそこにある。ビットコインの保守的なガバナンス構造の下では、セキュリティアップグレードが「提案」から「採用」に至るまでに長い時間を要する。その準備期間を短縮するために先行実装が存在するという論理は合理的だ。
BIP 360は量子耐性の「答え」ではないが、「問い」を実装に変えた点において評価に値する。米国連邦機関が2026年4月を期限にポスト量子暗号移行計画の策定を義務づけられ、EUが2030年を目標に重要インフラの量子耐性化を設定しているなか、主要な分散型資産であるビットコインだけが制度的圧力の外に置かれることはない。論争の本質は「量子耐性が必要か否か」ではなく、「誰がいつ動き始めるか」にある。そしてBIP 360は、その問いに対して最初の具体的な答えを提示した。
本記事は2026年3月23日時点の公開情報を基に作成された。
