量子コンピューターがRSA暗号や楕円曲線暗号(ECC)を解読可能になるXデーは2030年前後、それまでに実行すべきこととは？

2025年8月にアメリカのラスベガスで開催された世界最大級のセキュリティイベント・DEF CON 33で、量子コンピューティングおよびサイバーセキュリティの第一人者として知られるコンスタンティノス・カラギアニス氏が、「ポスト量子パニック：暗号解読はいつ始まるのか、検知は可能か？」というプレゼンテーションを実施しました。

DEF CON 33 - Post Quantum Panic: When Will the Cracking Begin, & Can We Detect it? - K Karagiannis - YouTube

量子コンピューターがRSA暗号や楕円曲線暗号(ECC)を解読してしまう日は遠くありません。そのため、アメリカ国立標準技術研究所(NIST)は「2035年までにポスト量子暗号への移行完了」を推奨していますが、実際にはあと5年しか猶予はない可能性があります。

カラギアニス氏は「これまで量子コンピューターが暗号を解読してしまうまで『あと10～20年』と繰り返し言われてきましたが、この漠然とした予測はすでに崩壊しています」と警告しました。

そもそも、量子コンピューターとは一体どういうものでしょうか。量子コンピューターにおいてデータをエンコードする際に使用される情報の基本単位が量子ビットです。量子ビットは重ね合わせと干渉を利用することで、特定の計算を通常より速く進めることが可能となります。ただし、量子ビットは「周囲環境の影響を受けやすく、エラーを起こしやすい」という特徴を有しているため、現状では物理量子ビットを束ねることで初めて論理量子ビットが得られるようになっています。

なお、Microsoftは2024年9月に論理量子ビットを12個作成することに成功したと発表しました。

Microsoftが論理量子ビットを12個作成したと発表、量子コンピューターの実用化に近づく成果 - GIGAZINE

そして、量子コンピューターを用いた素因数分解を高速に行うための量子アルゴリズムが「ショアのアルゴリズム」です。1994年にアメリカの数学者であるピーター・ショア氏が考案したこのアルゴリズムは、量子コンピューティングがRSA暗号やECCなどの既存の暗号方式を破る理論的根拠として広く知られています。​

これまでは量子コンピューターとショアのアルゴリズムを併用することで暗号を解読するには、10億量子ビットが必要とされてきました。しかし、技術の発展により必要とされる量子ビットの数は大幅に縮小しています。2021年に発表された論文では、2000万物理量子ビットと6000論理量子ビットでRSA2048を8時間で解読できると発表。さらに、2025年の最新の研究では、1399論理量子ビットがあれば5日でRSA2048を解読することができると推定しています。

ショアのアルゴリズムの他、「グローバーのアルゴリズム」を用いることで、AESに対して総当たり攻撃を通常の半分の試行回数で成功させることが可能です。そのため、AES-128は実質的にAES-64並みの安全性しか持っていないという指摘があります。

量子コンピューター開発メーカーの開発ロードマップはさまざまです。IonQは2028年に800論理量子ビット、2030年に200万物理量子ビットを実現することが可能になる予定であるとしています。

IBMは2025年6月に大規模量子コンピューターの「IBM Quantum Starling」を発表しており、これの論理量子ビットは200論理量子ビットに達する模様。なお、IBMは2032年までに2000論理量子ビットを実現することを計画しています。

IBMが世界で初めて耐障害性を備えた大規模量子コンピューター「IBM Quantum Starling」の開発に着手 - GIGAZINE

また、量子誤り訂正(QEC)が現実的に動き出し、誤り耐性のある汎用量子コンピューター(FTQC)が実現する時期としても、2030年前後が見込まれています。

これらを踏まえ、カラギアニス氏は「2030年前後にはRSAやECCといった暗号が破られる可能性が高い」と主張しているわけです。もしも2030年前後に量子コンピューターによりRSAやECCといった暗号が破られてしまう場合、NISTの「2035年までにポスト量子暗号への移行を完了すべき」という計画は間に合わないこととなります。

量子コンピューターによる暗号解読が想定よりも早く起きてしまった場合、国家レベルの攻撃者や犯罪組織が初期の量子コンピューターを独占的に使う危険性をカラギアニス氏は説いています。さらに、「暗号化済みのデータを盗み出し、後で解読する」といったサイバー攻撃がすでに実行されているとカラギアニス氏は主張しました。

特にブロックチェーンやビットコインなどのECCが危険であるとカラギアニス氏は主張しており、「もしもイーロン・マスクが『量子コンピューターがビットコインの暗号化を解読する』と言えば、相場は即崩壊するでしょう」と語りました。

このような量子コンピューターによる攻撃は、ネットワーク侵入ではなくクラウド上で発生するため、検知が難しいです。量子クラウドもユーザープライバシーを理由に実行内容を監視しないため、悪用の検知は困難になるだろうとカラギアニス氏は主張しています。

量子コンピューターによる暗号解読に対して安全だと考えられる暗号アルゴリズムは「ポスト量子暗号(PQC)」と呼ばれています。このPQCへの早期移行が最も重要であるとカラギアニス氏は主張しました。

NISTが推進するPQC標準にはML-KEMやML-DSA、SPHINCS＋、Classic McElieceなどがあります。

アメリカ国立標準技術研究所が3つのポスト量子暗号の最終標準「ML-KEM」「ML-DSA」「SLH-DSA」をリリース - GIGAZINE

実用的量子コンピューターが暗号を破る日は2030年前後であり、これは「世界初の予知可能なゼロデイ災害である」とカラギアニス氏は主張しています。このまま暗号方式を放置すれば、経済崩壊、信用崩壊、デジタル署名の価値喪失などが起きるとのこと。企業の最高情報セキュリティ責任者は「自分の任期中には関係のない出来事」と考える傾向がありますが、あと5年でこれが現実のものとなるなら、今から問題に着手すべきであることは明らかとカラギアニス氏は主張しています。