インターネットの安全を根底から揺るがしかねない研究結果が、Google Quantum AIの研究者によって明らかにされた。現在広く使われている2048ビットRSA暗号が、従来考えられていたよりもはるかに少ない計算資源を持つ量子コンピュータによって、短期間で解読される可能性を示唆する内容だ。この発表は、サイバーセキュリティ界に大きな衝撃を与え、耐量子計算機暗号(PQC)への移行を加速させる警鐘となるだろう。
衝撃の研究結果、RSA暗号の“賞味期限”が大幅短縮か
Google Quantum AIの著名な研究者であるCraig Gidney氏らがプレプリントサーバーarXivに2025年5月21日に投稿し、その後Google Security Blogでも2025年5月23日に解説された論文「How to factor 2048 bit RSA integers with less than a million noisy qubits(100万ノイジー量子ビット未満で2048ビットRSA整数を因数分解する方法)」は、暗号技術の未来に対する我々の認識を大きく塗り替えるものだ。
従来、2048ビットRSA暗号の解読には、約2000万の高品質な(エラーの少ない)量子ビットが必要と見積もられていた(Gidney & Ekerå, 2019)。しかし、今回の最新研究では、エラーを含む「ノイジーな」量子ビットであっても、約100万量子ビットのマシンがあれば、わずか1週間未満(論文の詳細計算では実質約5日間、余裕を見て1週間)で解読可能であると試算されている。これは、必要な量子ビット数において約20分の1という劇的な削減であり、量子コンピュータによる暗号解読の脅威が、我々の想定よりも早く現実のものとなる可能性を突きつけている。
RSA暗号は、オンラインバンキング、電子商取引、安全なデータ通信など、現代のデジタル社会におけるセキュリティの根幹をなす技術の一つだ。この暗号が容易に破られるようになれば、その影響は計り知れない。
なぜ可能に?ブレイクスルーを生んだ複数の技術革新
この大幅な必要量子ビット数の削減は、主に以下の複数の技術的進展によって達成されたと論文では説明されている。
- ショアのアルゴリズムの改良(近似剰余演算の導入):
量子コンピュータによる因数分解の基本アルゴリズムであるショアのアルゴリズムにおいて、Clémence Chevignard氏らが2024年に提案した「近似剰余演算」を用いることで、計算に必要な論理量子ビットの数を大幅に削減することに成功した。これは、完全な精度を求めずに近似計算を行うことで、リソースを節約するアプローチだ。 - 高密度な誤り訂正符号と効率的な量子ビット格納技術:
量子ビットは非常に壊れやすく、エラー訂正が不可欠だ。今回の研究では、Gidney氏らが2023年に発表した「yoked surface codes」という技術を用いることで、計算に使用されていない待機中の論理量子ビットをより高密度に格納できるようになった。さらに、Gidney氏らが2024年に示した「magic state cultivation」という手法により、量子計算における重要な操作であるマジック状態蒸留に必要な物理的空間も削減された。これらの組み合わせが、物理量子ビット要件を大幅に引き下げることに貢献している。
論文で示された図1(2048ビットRSA整数を因数分解するための物理量子ビットコストの歴史的推定値の比較)を見ると、今回の研究成果が過去のどの推定値よりも著しく低い量子ビット数を示していることが一目瞭然だ。また、図2(Toffoliゲート数と論理量子ビット数のパレートフロンティア)では、以前のGidney氏らの研究(GE21)と比較して論理量子ビット数が少なく、Chevignard氏らの研究(CFS24)と比較してToffoliゲート(量子計算における基本的な論理ゲートの一種)の回数が大幅に削減されていることが示されており、計算効率とリソース効率の両面での進歩がうかがえる。
ただし、これらの試算は、2019年の研究と同様の物理的仮定に基づいている点に注意が必要だ。具体的には、量子ビットが正方格子状に最近傍接続されており、均一なゲートエラー率が0.1%、表面符号の誤り訂正サイクル時間が1マイクロ秒、制御システムの反応時間が10マイクロ秒といった条件が設定されている。
現実の脅威はいつ?量子コンピュータ開発の最前線
今回の研究は理論上の進展であり、直ちに100万量子ビットの量子コンピュータが登場するわけではない。現在の最先端とされる量子プロセッサ、例えばIBMの「Condor」(1,121量子ビット)やGoogle自身の「Sycamore」(53量子ビット、現在は研究用途)と比較しても、その規模は桁違いに大きい。
しかし、量子コンピュータ開発のロードマップは着実に進んでいる。IBMは2033年までに10万量子ビットのシステム構築を目指しており、Quantinuum社は2029年までに完全にフォールトトレラント(誤り耐性を持つ)な汎用量子コンピュータ「Apollo」の実現を目標に掲げている。
依然として、100万ものノイジーな量子ビットを低いエラー率で安定して維持し、数十億回にも及ぶ論理演算を1週間近く連続して協調動作させることは、極めて困難なエンジニアリング上の課題であることは間違いない。論文では、この規模の計算を実行するための物理的なレイアウト案も提示されており、コンピュート領域、ホットストレージ領域(通常の表面符号で論理量子ビットを格納)、コールドストレージ領域(yoked surface codesでより高密度に格納)から構成される具体的な設計が示唆されている。
「Xデー」に備えよ:PQCへの移行が急務
「もし現在暗号化されてやり取りされているデータが第三者によって傍受・保存されていた場合、将来、高性能な量子コンピュータが登場した暁には、それらの過去のデータも遡って解読されてしまう可能性がある」これは「Store now, decrypt later(今は保存し、後で解読する)」攻撃として知られるシナリオだ。今回の研究は、その「後で」が思ったよりも早く来るかもしれないことを示唆している。
この脅威に対処するため、米国国立標準技術研究所(NIST)は、量子コンピュータでも解読が困難とされる新しい暗号アルゴリズム群「耐量子計算機暗号(PQC)」への移行を強く推奨している。NISTは既にPQCアルゴリズムの標準化を進めており、脆弱性が懸念される既存の暗号システム(RSAなど)については、2030年以降は非推奨とし、2035年以降は使用を禁止する方針を示している。
Google自身もこの問題に積極的に取り組んでおり、既にWebブラウザ「Chrome」や社内のネットワーク基盤において、PQCアルゴリズムの一つである「ML-KEM(Module-Lattice-based Key-Encapsulation Mechanism)」の統合を開始するなど、業界に先駆けて量子コンピュータ時代への備えを進めている。
この研究が真に意味するもの
今回のGoogle Quantum AIによる研究は、単に学術的な興味に留まるものではない。それは、量子コンピュータのハードウェア設計者や、サイバーセキュリティ政策を立案する人々にとって、より具体的で現実的な脅威モデルを提供するものだ。実験室レベルでの基礎研究と、実際に暗号を解読できる攻撃能力との間のギャップが、着実に、そして予想以上の速さで縮まりつつあることを、我々は認識しなければならない。
「攻撃は常に進化する」とは、暗号学の世界でよく言われる言葉だ。この研究は、まさにその言葉を裏付けるものであり、量子コンピュータという「矛」の進化が、現在の暗号という「盾」を貫く日が、決して遠い未来の話ではない可能性を示している。
Gidney氏自身も論文の結論で、「NISTが示すPQCへの移行スケジュール(2030年非推奨、2035年禁止)に同意する。これは、2030年までに十分に強力な量子コンピュータが存在すると予想しているからではなく、セキュリティが(技術開発の)進捗の遅さに依存すべきではないと考えるからだ」と述べている。この言葉は、我々すべてに対する警鐘と捉えるべきだろう。
この最新の研究結果は、私たちに傍観を許さない。企業、政府機関、そして個人に至るまで、量子コンピュータ時代における新たなセキュリティパラダイムへの移行準備を、今こそ真剣に開始する必要があるのではないだろうか。その備えが、未来のデジタル社会の安全性を左右することになるだろう。
論文
参考文献
- Google Security Blog: Tracking the Cost of Quantum Factoring
