【不都合な真実】耐量子暗号（PQC）は「永遠に安全」ではない｜2024年の冷や汗事件と長期リスク

この記事は、あなたを不安にさせるかもしれない

「耐量子暗号（PQC）に移行すれば安全」

そう信じている人は多い。しかし、それは半分しか正しくない。

PQCは「現在知られている量子アルゴリズムでは破れない」というだけで、「未来永劫安全」ではない。

本記事では、PQCの「不都合な真実」と、長期的な資産防衛戦略を解説する。

2028年、IonQが論理8,000量子ビットを達成すれば、RSA暗号は死にます。だから世界中がPQC（耐量子暗号）への移行を急いでいます。

しかし、こんな疑問を持った人はいないでしょうか。

「量子コンピュータが毎年進化して、数百万・数億論理量子ビットになったら、PQCも破られるのでは？」

この疑問に、正直に答えます。

この記事の目次

PQCは何を根拠に「安全」と言っているのか
2024年4月の「冷や汗事件」
本当のリスクは「量子ビット数」ではない
NISTの「保険」：2種類のPQCを用意した理由
暗号の歴史は「破られる歴史」である
長期的な資産防衛戦略
結論：「絶対安全」を信じるな

第1章｜PQCは何を根拠に「安全」と言っているのか

まず、PQC（耐量子暗号）がなぜ「量子コンピュータに対して安全」とされているのかを理解しましょう。

2つの「難しい問題」

現在のRSA暗号と、新しいPQCは、それぞれ異なる「数学的に難しい問題」に依存しています。

暗号方式	依存する問題	量子コンピュータでの解きやすさ
RSA / 楕円曲線（現行の暗号）	素因数分解問題離散対数問題	Shorのアルゴリズムで高速に解ける
格子暗号（Dilithium等）	最短ベクトル問題（SVP） Learning With Errors（LWE）	現在知られている量子アルゴリズムでは解けない
ハッシュベース暗号（SPHINCS+等）	ハッシュ関数の一方向性	量子でも大幅な高速化は困難

「安全」の根拠

PQCが「安全」とされる根拠は、以下のようなものです。

💡 格子暗号（Dilithium）の安全性根拠

数十年の研究：格子問題は1980年代から研究されており、効率的な解法は見つかっていない
量子アルゴリズムの限界：Shorのアルゴリズムは格子問題には適用できない
Groverのアルゴリズム：格子問題への適用は限定的で、せいぜい「2倍速」程度
NISTの厳格な審査：世界中の暗号学者が7年間かけて検証

現時点での「安全マージン」

最新の研究によると、格子暗号を量子コンピュータで破るために必要なリソースは：

必要なリソース	数値	比較
物理量子ビット	10¹³個（10兆個）	IonQの2029年目標（200万）の500万倍
計算時間	10³¹年	宇宙の年齢（138億年）の何兆倍

つまり、「数百万論理量子ビット」程度では、格子暗号は破れません。

…と、ここまでは安心材料です。
しかし、問題はこの先にあります。

第2章｜2024年4月の「冷や汗事件」

2024年4月、暗号学界を揺るがす事件が起きました。

格子暗号への量子攻撃が発表される

4月某日

中国の研究者Yilei Chenが、格子問題を効率的に解く量子アルゴリズムを発表。論文がプレプリントサーバーに公開される。

直後

世界中の暗号学者がパニック。「NISTが標準化したPQCが、もう破られた？」との懸念が広がる。

8日後

UCバークレーとワイツマン研究所のチームが、論文の数学的な誤りを発見。攻撃は無効化される。

その後

暗号学界は胸をなでおろす。しかし、この事件は重要な教訓を残した。

Adi Shamirの警告

この事件について、暗号学の巨匠Adi Shamir（RSA暗号の「S」の人物）がコメントしました。

「この事件は心理的に重要だ。

RSAが破られたのは、Shorが『隠れた周期性』を利用できることを発見したからだ。

格子問題にも、我々がまだ気づいていない『隠れた構造』があるかもしれない。

探索されていない研究領域が、まだたくさんある。」

— Adi Shamir

RSA暗号の共同発明者、チューリング賞受賞者

2024年の攻撃は「誤り」だった。
しかし、「正しい攻撃」が発見されない保証は、どこにもない。

第3章｜本当のリスクは「量子ビット数」ではない

ここで、あなたの最初の疑問に正面から答えます。

「量子コンピュータが数百万・数億論理量子ビットになったら、PQCも破られるのでは？」

答え：量子ビット数の増加は、それほど怖くない

格子暗号を破るには「10兆物理量子ビット」が必要です。量子コンピュータの性能が毎年倍増したとしても、そこに到達するには何十年もかかります。

しかも、格子暗号のパラメータ（鍵のサイズ等）を大きくすれば、安全性はさらに高められます。「いたちごっこ」で逃げ切れる可能性が高いです。

本当に怖いのは「新しいアルゴリズム」

本当のリスクは、量子ビット数の増加ではありません。

「天才数学者が、格子問題を効率的に解く新しいアルゴリズムを発見すること」——これが最大の脅威です。

リスク要因	脅威度	理由
量子ビット数の増加（数百万→数億）	低い	10兆には程遠い。パラメータ調整で対応可能
新しい量子アルゴリズムの発見	高い	予測不能。発見されれば即座に危険
実装上の脆弱性（サイドチャネル攻撃等）	中程度	理論は安全でも、実装でミスする可能性

PQC（格子暗号）の長期リスク評価

安全要注意危険

現時点では「安全寄り」だが、新しいアルゴリズムの発見で急激に右へ移動する可能性がある

第4章｜NISTの「保険」：2種類のPQCを用意した理由

NISTは、このリスクを理解しています。だからこそ、2種類のPQCを標準化したのです。

Dilithium（ML-DSA）

基盤：格子問題

✅ 高速（署名・検証が速い）
✅ コンパクト（鍵・署名サイズが小さい）
✅ 実用的（ブロックチェーンに適している）
⚠️ リスク：新しい量子アルゴリズムで破られる可能性

用途：日常的な暗号通信、暗号資産

SPHINCS+（SLH-DSA）

基盤：ハッシュ関数のみ

✅ 数学的にほぼ「不滅」
✅ ハッシュ関数が安全な限り安全
✅ 格子が破られても生き残る「保険」
⚠️ デメリット：署名サイズが巨大（Dilithiumの10倍以上）

用途：長期保存が必要な機密、最後の砦

なぜSPHINCS+は「ほぼ不滅」なのか

SPHINCS+は、ハッシュ関数（SHA-256等）の安全性だけに依存しています。

ハッシュ関数に対する量子攻撃（Groverのアルゴリズム）は、せいぜい「2乗根」の高速化しかできません。つまり：

256ビットのハッシュ → 量子でも128ビット相当の安全性
384ビットのハッシュ → 量子でも192ビット相当の安全性

これは「鍵を長くすれば、いくらでも安全性を高められる」ことを意味します。格子問題のように「新しいアルゴリズムで一気に破られる」リスクがほぼありません。

NISTの戦略

通常時：Dilithium（速くて実用的）を使用
格子が破られたら：SPHINCS+（遅いが確実）に緊急移行

2種類を用意することで、「片方が破られても、もう片方で生き残る」という冗長性を確保しています。

第5章｜暗号の歴史は「破られる歴史」である

ここで、暗号の歴史を振り返ってみましょう。「絶対安全」と思われていた暗号が、次々と破られてきた歴史です。

1970年代

DES暗号が標準化
米国政府が「十分に安全」として採用。当時は「永遠に安全」と思われていた。

1990年代

DESが「危殆化」
コンピュータの進化により、DESは数時間で解読可能に。AESへの移行が始まる。

1994年

Shorのアルゴリズム発表
RSA暗号に「死刑宣告」。量子コンピュータが実用化されれば、RSAは終わることが確定。

2017年

SHA-1が「衝突攻撃」で破られる
Googleが実証。かつて「安全」とされたハッシュ関数が非推奨に。

2024年

格子暗号への攻撃が発表（後に無効化）
「まだ探索されていない領域がある」ことが明らかに。

202X年？

格子暗号を破る「真の」アルゴリズムが発見される？
可能性は否定できない。歴史は繰り返す。

暗号の歴史は「破られる歴史」である。
「絶対安全」と思われた暗号は、いつか必ず破られてきた。
PQCも例外ではない可能性がある。

第6章｜長期的な資産防衛戦略

では、この「不確実性」の中で、どのように資産を守るべきでしょうか。

原則：「絶対安全」を信じない

最も重要なマインドセットは、「どんな暗号も、いつかは破られる可能性がある」と認識することです。

その上で、以下の戦略を取りましょう。

戦略①：「暗号アジリティ」のあるプラットフォームを選ぶ

暗号アジリティ（Crypto Agility）とは

「暗号方式を柔軟に切り替えられる設計」のこと。

高い：XRP（Regular Keyで署名方式を変更可能）、Hedera（ガバナンスで迅速に切り替え可能）
中程度：Ethereum（アカウント抽象化で対応予定）
低い：Bitcoin（プロトコル変更に数年かかる）

格子暗号が破られた時、「すぐにSPHINCS+に切り替えられるか」が生死を分けます。

戦略②：「寿命の長い秘密」は特に慎重に

全ての情報が同じ価値を持つわけではありません。「寿命の長い秘密」は、より保守的な暗号で保護すべきです。

情報の種類	寿命	推奨される保護
一時的な通信（チャット等）	数日〜数年	Dilithium（格子暗号）で十分
金融資産（暗号資産）	数年〜数十年	PQC対応チェーン + 定期的な移行
遺伝子情報、医療記録	永久	SPHINCS+クラスの保守的な暗号
国家機密	永久	複数の暗号を重ねる（ハイブリッド）

戦略③：「アップグレード」を前提とした設計

暗号は「一度設定すれば終わり」ではありません。5〜10年ごとにアップグレードが必要と考えるべきです。

暗号資産：定期的に新しいアドレス（新しい署名方式）に移動
企業システム：「暗号棚卸し」を定期的に実施し、移行計画を更新
個人：パスワードマネージャー、VPN等のPQC対応状況を継続的に確認

戦略④：「最悪のシナリオ」に備える

もし「格子暗号を破るアルゴリズム」が発見されたら、何が起きるでしょうか。

最悪のシナリオ

論文がプレプリントサーバーに公開される
数日〜数週間で検証される（今度は「誤り」ではない）
世界中でパニック。Dilithiumで保護されていた資産が危険に
SPHINCS+への緊急移行が始まる
SPHINCS+は署名が巨大なため、ブロックチェーンの処理能力が激減
移行できなかった資産は「草刈り場」に

このシナリオに備えるには：

暗号学界のニュースを定期的にチェック
「格子」「lattice」「quantum attack」等のキーワードをアラート設定
緊急時に資産を移動できるよう、ウォレットのアクセス権を確保

第7章｜結論：「絶対安全」を信じるな

長い記事を読んでいただき、ありがとうございます。

最後に、本音の結論をまとめます。

PQCは「現時点では安全」だが、「永遠に安全」ではない。

量子コンピュータの「性能向上」よりも、
「天才数学者が新しいアルゴリズムを発見する」方が怖い。

暗号の歴史は「破られる歴史」である。
PQCも例外ではない可能性がある。

「絶対安全」を信じるな。
「アップグレードできる柔軟性」を持て。

この記事のまとめ

PQCの安全性根拠：格子問題は「現在知られている量子アルゴリズム」では解けない
2024年4月の教訓：格子への攻撃が発表され、8日後に無効化。しかし「探索されていない領域がある」ことが判明
本当のリスク：量子ビット数の増加ではなく、新しいアルゴリズムの発見
NISTの保険：Dilithium（速いが格子依存）とSPHINCS+（遅いが不滅）の2種類を標準化
長期戦略：暗号アジリティのあるプラットフォームを選び、定期的にアップグレードする
結論：「絶対安全」を信じず、「アップグレードできる柔軟性」を持つ

暗号は「永遠の盾」ではない。
「定期的に更新する装甲」と考えよ。

今日の「安全」は、明日の「危険」かもしれない。

執筆日：2026年2月1日
※本記事は執筆時点の情報に基づく分析です。
※暗号技術の進歩により、状況は変化する可能性があります。

URLをコピーしました！

【不都合な真実】耐量子暗号（PQC）は「永遠に安全」ではない｜2024年の冷や汗事件と長期リスク

この記事のまとめ

関連記事

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル