Bitcoinの量子アップグレードパス：BIP-360が変更することと変更しないこと

Bitget

ニュース

Cointelegraph2026/03/10 12:53

原文を表示

著者:Cointelegraph

Bitgetは、人気の暗号資産を購入または売却するためのさまざまな方法を提供しています。今すぐ購入する

新規ユーザー向け6,200 USDT相当のウェルカムパック新規登録する

主なポイント

BIP-360は初めてBitcoinのロードマップに量子耐性を正式に位置づけた。これは急激な暗号アルゴリズムの全面的な入れ替えではなく、段階的かつ着実な一歩を示す。
量子リスクが主に狙うのは公開鍵であり、BitcoinのSHA-256ハッシュではない。そのため、開発者は公開鍵の露出こそが中心的な脆弱性だと認識している。
BIP-360はPay-to-Merkle-Root（P2MR）を導入し、Taprootのキーパス支払いオプションを排除して全ての支払いをスクリプトパス経由に限定し、楕円曲線の露出を最小化する。
スマートコントラクトの柔軟性は維持されており、P2MRはTapscript Merkleツリーを通じてマルチシグ、タイムロック、複雑なカストディ構造も引き続きサポートする。

Bitcoinは敵対的な経済・政治・技術的な状況に耐えうるように設計されている。2026年3月10日現在、開発者たちは新たな脅威、つまり量子コンピューティングに備え始めている。

最近発表されたBitcoin Improvement Proposal 360（BIP-360）により、量子耐性が正式にBitcoinの長期的な技術ロードマップに初めて加わった。一部の見出しでは劇的な変化のように報じられているが、実際ははるかに着実で段階的な変更である。

本記事では、BIP-360がどのようにPay-to-Merkle-Root（P2MR）を導入し、Taprootのキーパス支払いの削除によりBitcoinの量子的脅威への露出を減らそうとしているのかを検証する。また、本提案がもたらす改善点やトレードオフ、完全なポスト量子耐性に至らない理由についても解説する。

量子コンピュータがBitcoinにとってリスクとなる理由

Bitcoinのセキュリティは主に楕円曲線ディジタル署名アルゴリズム（ECDSA）と、Taprootで導入されたシュノア署名に依存している。従来のコンピュータでは公開鍵から秘密鍵を現実的に導き出すことは不可能とされている。しかし強力な量子コンピュータがShorのアルゴリズムを用いれば、楕円曲線の離散対数問題を解くことができ、公開鍵が危険にさらされる。

主な違いは次の通り：

量子攻撃が最も影響を与えるのは公開鍵暗号であり、ハッシュ関数（SHA-256）は主なターゲットではない。
BitcoinのSHA-256は量子的手法に対して比較的強い。Groverのアルゴリズムは指数的ではなく二乗的なスピードアップしかもたらさない。
実際のリスクは公開鍵がブロックチェーン上に露出したときに発生する。

そのため、コミュニティは公開鍵の露出を量子リスクの主なベクトルとして注目している。

Bitcoinの量子アップグレードパス：BIP-360が変更することと変更しないこと image 0

2026年時点でのBitcoinの脆弱性

Bitcoinネットワーク上のすべてのアドレスタイプが、将来の量子的脅威に同じレベルで晒されているわけではない：

再利用されたアドレス：支払いの際に公開鍵がオンチェーンで明らかになり、将来暗号的に有効な量子コンピュータ（CRQC）に晒される可能性がある。
レガシーのpay to public key（P2PK）アウトプット：初期のBitcoinトランザクションは公開鍵を直接アウトプットに埋め込んでいた。
Taprootキーパス支払い：Taproot（2021年）は2つの経路を提供する：コンパクトなキーパス（支払い時に調整済み公開鍵が露出する）と、Merkle証明でスクリプトを明かすスクリプトパス。キーパスが量子攻撃下で理論的最大の弱点となる。

BIP-360はこのキーパス露出に直接に対処する。

Bitcoinの量子アップグレードパス：BIP-360が変更することと変更しないこと image 1

BIP-360がもたらすもの：P2MR

BIP-360は新しいアウトプット形式であるPay-to-Merkle-Root（P2MR）を導入する。これはTaprootに非常に近いが、決定的な違いがある。それはキーパスでの支払いオプションを完全に排除した点だ。

Taprootのように内部公開鍵へコミットするのではなく、P2MRはスクリプトツリーのMerkle rootのみにコミットする。支払い時は：

スクリプトリーフを公開
それがコミットされたrootの一部であることを証明するMerkle証明を提出

公開鍵に基づく支払い経路は一切存在しない。

キーパス支払いを排除することで：

直接署名チェックのために公開鍵を露出する必要がない。
全ての支払い経路がハッシュベースのコミットメントに依存する。
長期的な楕円曲線公開鍵の露出が大幅に低減される。

ハッシュベースの手法は楕円曲線に基づく仮定より量子攻撃に対してはるかに強靭である。これにより攻撃面が大幅に縮小される。

BIP-360が維持するもの

キーパス支払いの削除でスマートコントラクトやスクリプトが弱体化するという誤解があるが、それは正しくない。P2MRは完全に以下をサポートする：

マルチシグ構成
タイムロック
条件付き支払い
相続スキーム
高度なカストディ

BIP-360はこれらの機能をTapscript Merkleツリーを使って実現する。プロセスは全スクリプト機能を保っているが、利便性は高いが脆弱性のある直接署名のショートカットは消滅する。

ご存知でしたか？ Satoshi Nakamotoは初期のフォーラム議論で量子コンピュータに一時的に言及し、もし実用化された場合はBitcoinがより強力な署名方式へ移行できると示唆しました。アップグレードの柔軟性は設計思想の一部だったことが分かります。

BIP-360の実務的影響

BIP-360は純粋な技術的改善に聞こえるかもしれないが、その影響はウォレットや取引所、カストディの運用レベルで現れる。もし有効化されれば、新規のBitcoinアウトプットの生成・支払い・保護の方法が徐々に再構築され、特に長期的な量子耐性を重視するユーザーにとって重要となる。

ウォレットは任意で利用可能なP2MRアドレス（おそらく「bc1z」から始まる）を新規コインや長期保有向け“量子耐性強化”オプションとして導入できる。
トランザクションはわずかに大きくなる（スクリプトパス由来のwitnessデータ増加のため）、そのためTaprootのキーパス支払いと比べて手数料が少し上がる場合もある。セキュリティとコンパクトさのトレードオフだ。
完全展開にはウォレット、取引所、カストディ、ハードウェアウォレットの対応アップデートが必要となる。数年前から計画を始めるべきだ。

ご存知でしたか？ 政府はすでに「今収集して後で解読する」リスクへの備えを始めており、今日暗号化されたデータが将来量子的解読に備えて保存されている。この戦略は、Bitcoin公開鍵の露出に対する懸念と重なる。

BIP-360が明示的に行わないこと

BIP-360は将来の量子的脅威に対してBitcoinを強化するが、包括的な暗号全面刷新ではない。その限界を理解することもイノベーション理解と同じく重要だ：

既存コインへの自動アップグレードはない：古い未使用トランザクションアウトプット（UTXO）は、ユーザーが手動で資金をP2MRアウトプットに移動するまで脆弱なまま。移行はユーザー次第。
新しいポスト量子署名は導入しない：BIP-360はECDSAやシュノア署名を格子ベース（例えばDilithiumやML-DSA）やハッシュベース（SPHINCS+等）の方式に置き換えない。あくまでTaprootのキーパス露出パターンだけを排除する。ベースレイヤをポスト量子署名に完全移行するには、はるかに大きな変更が必要となる。
完全な量子耐性は実現しない：突然CRQCが現れた場合は、マイナー、ノード、取引所、カストディアン間で大規模な連携が必要となる。休眠コインが複雑なガバナンス問題を生み、ネットワークストレスが発生するおそれがある。