ポスト量子セキュリティ分野のスタートアップ企業「Project Eleven」は、2026年4月24日、独立研究者のジャンカルロ・レッリ氏に対し、一般に公開されているIBMの量子コンピュータ上で15ビットの楕円曲線暗号鍵の解読に成功した功績を称え、1 BTCの「Q-Day Prize」を授与しました。同社はこの成果を、同種の実証実験としては過去最大規模のものだと評価しています。 主なポイント:
IBMの量子コンピュータが15ビットのECC鍵を解読しましたが、ビットコイン開発者らは、ランダムなビット列がその結果と一致していると指摘しています
共有
- Project Elevenは4月24日、IBMの量子ハードウェア上で15ビットの楕円曲線暗号(ECC)鍵を解読した功績に対し、研究者のジャンカルロ・レッリ氏に1 BTC(78,000ドル)を授与しました。
- ビットコイン開発者は、レリ氏の成果がランダムノイズ下でも再現されることを示し、古典的手法に対する量子優位性は皆無であることを示唆しました。
- 15ビットとビットコインの256ビットsecp256k1との間には依然として2^241という大きな隔たりがあり、現時点ではBTCのセキュリティは維持されています。
プロジェクト・イレブン、15ビットECC量子解読の功績でジャンカルロ・レッリに1BTCを授与、だがソフトウェア開発者は「ノイズ」と指摘
プロジェクト・イレブンは、この成果について、2025年9月にエンジニアのスティーブ・ティペコニック氏がIBMのハードウェア上で達成した6ビットECCの解読と比べ、探索空間の複雑さが512倍に増加したと説明しました。CEOのアレックス・プルデン氏は、この成果を「ECCに対する量子攻撃がもはや国立研究所や専用ハードウェアを必要としないという証拠だ」と位置付けました。
授与時点では約7万8000ドル相当と評価された本賞は、1ビットから25ビットの鍵長におけるECCへの量子攻撃について、再現可能な公開測定結果を提供することを目的としていました。レリ氏提出の完全なコードと実行ログはGitHubで公開されています。
レリ氏はビットコインのsecp256k1標準で採用されている形式の楕円曲線を標的にし、IBM Quantumのクラウドハードウェア上でショアアルゴリズムの2レジスタ版を実装しました。この回路はibm_torinoやibm_fezなど複数のIBM Heron r2プロセッサ上で実行され、ノイズの多い中規模量子デバイス向けに設計された技術に依存していました。
ビットコイン開発者や暗号研究者はこの結果に即座に否定的な見解を示し、量子ハードウェアが結果に実質的な価値を加えていないと主張しました。この成果を発表したProject ElevenのX投稿には現在、「Community Notes」によるファクトチェックが添付されており、15ビットのECC鍵を復元するために使用された手法は、ランダムノイズと見分けがつかない出力を古典的に検証することに依存しており、実質的には古典的な推測に等しいと指摘されています。
元ビットコイン・コア(Bitcoin Core)メンテナーのJonas Schnelli氏はLelli氏の提出物を分析し、IBMの回路が約98,000ゲートをゲートあたりの忠実度約99.5%で実行した結果、統計的にランダムなコイン投げと見分けがつかない出力を生成したことを突き止めました。
シュネリは量子ハードウェアを一切使用せず、純粋なランダムビットと約20行のPythonコードだけで鍵の完全な復元を再現しました。彼の結論は明快です。量子コンピュータは古典的なランダム性に対して検出可能な信号を追加しませんでした。 Coinkite創設者のロドルフォ・ノヴァク氏は、Project Elevenが一般大衆を誤解させていると主張し、その量子に関する主張を「茶番」と呼びました。 X上では「量子回路が実行される前に秘密鍵はすでに古典的に解かれている」と主張し、このシステムは「何も発見していない――答えを教えられているだけだ」と述べました。さらに、結果は「古典的な検証フィルター」に依存していると付け加えました。ノヴァクは「ビットコインに対する量子脅威は現実的だが遠い将来の話」である一方、今日のデモは「量子という衣装をまとった古典的な計算」に過ぎないと結論付けました。
研究者のユバル・アダム氏は、レリ氏のIBM量子バックエンドをLinuxの古典的乱数生成器である/dev/urandomに置き換え、ターゲットキーを全く同じように復元することで、この発見を独自に裏付けました。この15ビット曲線の探索空間には32,767通りの秘密鍵しか存在せず、十分に小さいため、公開鍵に対して候補を照合する古典的検証器は近似ランダムサンプリングによって高い確率で一致を見つけることができます。
ビットコイン支持者のジミー・ソング氏は、量子コンピュータが/dev/urandomと同じ機能を果たしていると述べました。XアカウントのTFTCは、広く読まれたスレッドの中で、これまでのECCに対するショアアルゴリズムの公開実証はすべて、量子ハードウェアが動作する前に答えを回路に事実上エンコードする古典的な事前計算に依存していると指摘しました。
さらに、賞金制度には利益相反の問題も指摘されています。Coinbase Ventures、Castle Island Ventures、Variant、Balaji Srinivasanの支援を受けるProject Elevenは、この賞を設立し、3人の独立した物理学者が応募作を審査して報奨金を授与した後、「公開鍵が露出したウォレットに保管されている約690万BTCが長期的にリスクにさらされる可能性がある」と警告するプレスリリースを発表しました。同社はポスト量子暗号ツールを販売しています。
プロジェクト・イレブンの創設者が批判に応える
Pruden氏はフォローアップのスレッドで、今回の結果は「Q-Day」ではなく、NISQ時代の実験は日常的に古典的な支援に依存していることを認めました。同氏は、このデモは依然として入手可能な汎用ハードウェア上での逐次的かつ再現可能な進歩を表しており、ポスト量子暗号への移行計画は依然として合理的な長期的な優先事項であると主張しました。Project Elevenの幹部は次のように付け加えました:
「結論として、これは騒がしく未成熟な分野における段階的な進歩であり、『Q-Day』ではありません。これが、私たちがリソース削減を追跡している理由であり、長期的なセキュリティにとってポスト量子への移行計画が重要である理由を浮き彫りにしています。懐疑的であることは健全ですが、目標を動かしてしまうのは良くありません。技術的な詳細について議論したり、リポジトリや審査員のフィードバックを共有したりすることは喜んで行います」
レリの研究結果とビットコインに対する実際の脅威の間には大きな隔たりがあります。ビットコインのsecp256k1曲線は256ビットのセキュリティレベルで動作しています。 15ビットから256ビットへの距離は、計算難度にして2の241乗倍の差に相当します。2026年4月に発表されたGoogleの論文を含む最近の楽観的な研究でも、256ビットECCを破るには50万個未満の物理量子ビットが必要と推定されており、これは現在の量子ハードウェアの性能をはるかに上回ります。
ソニックが、よりシンプルなアーキテクチャで量子コンピューター対応のブロックチェーンを構築しました。
ソニックは、量子耐性のある暗号技術への移行を円滑にするため、ブロックチェーンのアーキテクチャを再設計しています。 read more.
今すぐ読む
ソニックが、よりシンプルなアーキテクチャで量子コンピューター対応のブロックチェーンを構築しました。
ソニックは、量子耐性のある暗号技術への移行を円滑にするため、ブロックチェーンのアーキテクチャを再設計しています。 read more.
今すぐ読むソニックが、よりシンプルなアーキテクチャで量子コンピューター対応のブロックチェーンを構築しました。
今すぐ読むソニックは、量子耐性のある暗号技術への移行を円滑にするため、ブロックチェーンのアーキテクチャを再設計しています。 read more.
このエピソードは、量子コンピューティングに関する報道全体に根強く存在するジレンマを浮き彫りにしています。ハードウェアの段階的な進展は注目を集めますが、実験用スケールの実証と実用的な暗号システムとの間には、依然として近いうちに解決の見込みがない技術的な隔たりが存在します。ビットコインのセキュリティモデルはこの隔たりに依存しており、開発者たちはそれが依然として維持されていると述べています。
