【第28号】ビットコインの作者サトシ・ナカモトを追え〈後編〉
ご注意:このレターは「仮想通貨」の購入をおすすめするものではありません.また購入先の紹介や運用ノウハウをお伝えするものでもありません.
ビットコインと同じくブロックチェーンを用いた暗号資産で,相場の急上昇ぶりから「現代の錬金術」とまで言われた「TITAN」は2021年6月17日に「価値が24時間で12億分の1になる」という歴史的な暴落をしています.ブロックチェーンは資産の経済的安全性を担保するものではありません.
【140字まとめ】ビットコインは「ブロックチェーン」という画期的な技術によって支えられています.ブロックチェーンは「ビザンチン将軍問題」を解く,現実的には唯一の手段です.そしてビザンチン将軍問題を解いたことこそが,ビットコインが政府や中央銀行に頼らない通貨である理由なのです.
いちです,おはようございます.
今週はビットコインの仕組みについて,いよいよ核心に触れます.また後半で謎多きサトシ・ナカモトに関する,ちょっとした陰謀説もご紹介させていただきます.
この号は【第27号】ビットコインの作者サトシ・ナカモトを追え〈前編〉の続きです.是非〈前編〉からお読みください.
〈前編〉のまとめ
【第27号】でお伝えした〈前篇〉をまとめてみます.
-
ビットコインは実態がなく,やり取りを記録した「台帳」だけがある.
-
台帳は特定の人物や企業,政府が集中管理しているわけではなく,ビットコインネットワーク参加者全員が同じコピーを持っている「分散台帳」としてのみ存在する.
-
ビットコインネットワークの分散台帳の改ざんはかなり難しい.
-
ビットコインの作者サトシ・ナカモトの正体や生死は不明のままである.
ビットコインは「ビットコインネットワーク」上で共有されている台帳に記載された,コインのやり取りとしてしか存在しません.この台帳には管理者がおらず,ネットワーク参加者全員によってコピーが共有されています.
ここから新しい内容
ビットコインネットワークの参加者はすべて固有の「秘密鍵」を持っています.秘密鍵はパスワードのようなもので,持ち主以外には知られてはならないものです.逆に言うと,秘密鍵を知っていることだけが参加者のアイデンティティということになります.その人の名前や住所,マイナンバーなどは関係ないのです.これがビットコインが高い「匿名性」を持つ所以です.この高い匿名性のために,前号でご紹介した「ランサムウェア」の支払い手段に指定されることも少なく有りません.
ビットコインネットワークの台帳には「XさんがYさんへZビットコイン(BTC)を支払います」という取引記録が書かれます.取引記録は膨大になるので「ブロック」という単位でまとめられます.紙の台帳で言えばページのようなものですね.この台帳には,2009年1月3日の最初の取引を記録したページ,通称「ジェネシスブロック」からすべてが残されています.台帳へのページの追加は個人でもトライすることが出来ますが,ビットコインネットワーク全体で承認されなければなりません.
ここで問題になるのが,過去の台帳の改ざんが無いことを示すことと,取引が正当であることの証明方法です.
Xさんからビットコインを受け取ったYさんは,それが本当にXさん本人のものか確認する必要があります.そのために,ビットコインを送るXさんは,それがXさん本人のものであることをYさんに証明する必要があります.
この目的のため,ビットコインでは,取引に「公開鍵暗号」という暗号の一種を用います.公開鍵暗号とは,メッセージの暗号化と復号にそれぞれ別の鍵を用いる暗号化方式のことです.暗号を金庫に例えるなら,扉を閉じるときと開けるときで異なる鍵を使うようなものです.そして,暗号化,あるいは扉を閉じるときの鍵は全世界に公開してしまうのです.扉を開けるには依然もうひとつの鍵が必要ですから,金庫の安全性は保たれています.この扉を開けるための鍵こそが先述の秘密鍵です.秘密鍵は当然のことながら,他者に公開してはいけません.さもなければ,誰もが金庫を開けられることになってしまいます.

公開鍵暗号の一種を上手く使うと,自分の書いたメッセージに署名をすることが出来ます.この種の公開鍵暗号では「署名鍵」と「検証鍵」のペアを作ります.検証鍵のほうは世界中に公開しておきます.そして,自分の書いたメッセージを署名鍵で暗号化してからネットワークに流します.メッセージを受け取った人は,公開されている検証鍵を用いて,そのメッセージが確かに検証鍵の発行者によって書かれたことを知ることが出来るのです.このような署名を「デジタル署名」と呼びます.
17世紀ごろまでは,科学者が学術的な「発見」を暗号で発表しておき,あとで暗号を解いてみせることで「自分が先に発見していた」と主張する根拠にすることが行われていました.例えばガリレオ・ガリレイは1610年に
smaismrmilmepoetaleumibunenugttauiras
という暗号文を発表しています.これはラテン語で
Altissimum planetam tergeminum observavi
というメッセージの文字を組み替えたもので,意味は「我ハ最モ遠キ天体ガ三体カラナル事ヲ発見セリ」でした.望遠鏡の像が滲んで,輪のある土星が串団子のように見えたのですね.これも一種の「署名」と言えるかもしれません.
さて,Xさんは「XさんがYさんへZビットコイン(BTC)を支払います」というメッセージにデジタル署名をします.Yさんは,Xさんの検証鍵を利用して,Xさんから届いたメッセージを検証します.これによって,Xさんが送ってきたデータが確かにXさんのものであることをYさんは知ることが出来ます.
この取引はXさんとYさんの間だけでやり取りされるのではなく,ビットコインネットワーク参加者全員へ送られます.ビットコインネットワーク参加者のうち「マイナー(採掘者)」と呼ばれる参加者が,この取引をもとに台帳のページ,つまりブロックを作成します.このブロックの作成には,それなりに難易度の高い計算問題を解く必要があるように設計されています.そして,取引記録と「ナンス」と呼ばれる計算問題の解答と,過去の取引のダイジェストをまとめて,再びビットコインネットワークに送信します.
ビットコインネットワーク参加者たちは,今度はこのブロックが正当なものかどうかを個別に照合します.具体的には,ダイジェストの値とナンスの値が正しいか,過去のブロックとの整合性はあるかを確認します.正しいと認められたブロックは,ネットワーク参加者の台帳にそれぞれ追加されます.
計算問題を解いて正しいブロックを生成した最初のマイナーには,手数料(トランザクションフィー)と報酬が支払われます.手数料はXさんを始めとする取引の依頼者から貰うのですが,報酬は新たに産み出されたビットコインを受け取ることになります.あたかも地面の中からビットコインを掘り出しているかのようなので,これを採掘(マイニング)と呼ぶのです.

見ての通り,採掘とブロックの生成は強固に結び付けられています.新しいビットコインを掘り出したければ,ブロックの生成,すなわち台帳のページを作ってビットコインネットワークに流さないといけません.これがビットコインネットワークを動かすモチベーションになっているというわけです.
なお,ビットコインでは採掘の上限が定められています.ブロックを生成するための,つまりは採掘するための計算問題は日を追うごとに難しくなるように設計されており,また1回の採掘量は21万ブロックを掘るごとに半減するように設計されています.そして,ビットコインネットワークは2,100万BTCを発行し終わったところで新規のビットコインを産み出さなくなります.現在(2021年)すでに総発行量の90パーセント近くが採掘済みなのですが,完全に掘り尽くすのは2140年頃(ビットフライヤー社による)と見積もられています.
ビットコイン開始当初の採掘量は1回あたり50BTCでした.これまでに3回の半減が行われ,現在は1ブロックあたり6.25BTCが採掘出来ます.マイナーは他に手数料として1ブロックあたりおよそ1BTCを受け取っているようです.本稿執筆時点で1BTCが400万円程度ですから,これはかなりの大金ですね.
ビットコインは 0.000,000,01BTC を最小単位としています.これを 1Satoshi と呼ぶこともあります.ビットコインの採掘量は半減していくのですが,この量が 1Satoshi 未満になるとカウントできなくなるので,採掘終了となるのです.ここらへんは埋蔵量に限りのあるゴールドやプラチナと似ています.
採掘終了後のビットコインネットワークがどうなるかはわかりません.ただ,マイナーは依然として報酬を受け取るので,マイナーが居なくなるということは無さそうです.採掘終了まであと120年あると見積もられていますから,その頃には新しい技術,新しい通貨に移行している可能性もありますね.
ビザンチン将軍問題
ビットコインネットワーク参加者はそれぞれが台帳を持っていることになります.台帳は随時突き合わせて,内容を同一にしておかねばなりません.それが嫌なら,誰か代表者を決めてその人に集中管理してもらうしか無いのですが,ビットコインネットワークはそのようには設計されませんでした.それ故,ビットコインネットワークの台帳を「分散台帳」と呼ぶのです.
しかし,台帳を突き合わせて内容を同一にしようにも,意見が折り合わなかったらどうなるのでしょうか.
ビットコインネットワークに流される台帳のコピーは過去の取引のダイジェストをすべて含んでいますから,ある時点での台帳は
A1→A2→A3
のように,ブロックA1,ブロックA2,ブロックA3が連なっているとします.これを「ブロックチェーン」と呼びます.ブロックがチェーン(鎖)のように連なっているからですね.ここに新しいブロックを付け加えるわけですが,マイナーは報酬が欲しいので,それぞれ独自に付け加えようとします.その結果
A1→A2→A3→B1
というブロックチェーンや
A1→A2→A3→C1
というブロックチェーンが出来てしまうことになります.さらに,ここにブロックが継ぎ足されていって
A1→A2→A3→C1→C2
とか
A1→A2→A3→C1→D1→D2
みたいなものも出来上がります.まとめて図にするとこういうことになります.

ビットコインネットワークは,これらのブロックチェーン候補のうち,一番長いものを唯一の正しいブロックチェーンとして採用します.上の例で言えば
A1→A2→A3→C1→D1→D2
が一番長いチェーンですから,これを正式なブロックチェーンとして採用します.他の枝は全て捨ててしまいます.

(余談ですが,新しい分散台帳を作り直すために,枝分かれを意図的に生かしておくことがあります.例えばビットコインから分岐した「ビットコインキャッシュ」はビットコインのブロック478,558から2017年8月1日に分岐しました.このような分岐を「ハードフォーク」と言います.)
このようなブロックチェーンの洗濯,いえ選択が,前号で触れた「ビザンチン将軍問題」の解決になっているのです.ビザンチン将軍問題とは次のような問題でした.
ビザンチン帝国(東ローマ帝国)の9人の将軍たちがそれぞれ軍を率いてひとつの都市を包囲していると考えてください.将軍たちは攻撃するか,撤退するかを決めなければいけませんが,いずれにせよ意見は全員一致している必要があります.中途半端に攻撃を仕掛けると味方が全滅してしまいます.しかし,将軍同士は顔を合わせて打ち合わせが出来ないものとします.
そこで9人の将軍たちは,攻撃か撤退かは多数決で決めることにしておきます.ただし一堂に会することが出来ないので,攻撃票か撤退票を8部作って,自分以外の将軍に送るものとします.もし自分を含む5人が攻撃を唱え,残り4人が撤退を唱えれば,多数決によって結局9人全員で攻撃をすることになります.
さて,投票日が来ました.4人の将軍が攻撃を,4人の将軍が撤退を唱えています.9人目の将軍は反逆者で,攻撃に投票した将軍には攻撃票を,撤退に投票した将軍には撤退票を送ります.攻撃票を投じた将軍たちは投票結果を見て攻撃と判断します.撤退票を投じた将軍たちは投票結果を見て撤退と判断します.結果,4人が攻撃し,4人が撤退するため全滅します.反逆将軍は生き延びるでしょうが.
ビザンチン将軍問題はアメリカの計算機科学者レスリー・ランポートによって提唱されました.ビザンチン将軍を引き合いに出したのは,ランポート先生独特の洒落と教養です.洒落がきつすぎて,ランポート先生が投稿した論文が編集者に冗談と思われたこともあったそうです.理数系の学生さんなら,ランポート先生が作られたLaTeX(ラテフ)にはお世話になったことがあるでしょう.
さて,ランポートの研究によると,ビザンチン将軍問題においては,裏切り者がn人のとき,全体で2n+1人以上の将軍がいれば,誠実な将軍どうしの判断が一致できることが示されました.簡単に言うと,参加者の51パーセントが同じ票を投じたなら,それを正解とみなしなさいということですね.
ブロックチェーンにブロックを追加するためには,計算問題を解いてノンスを追加する必要があります.これを「プルーフ・オブ・ワーク(PoW)」と呼びます.また,ブロックチェーンは枝分かれしても,一番長いものだけが採用されます.そのため,ビットコインの台帳に新しいブロックをねじ込もうと思ったら,猛烈な勢いで計算機をぶん回してPoWを達成し,次々とブロックを追加していくしかありません.
もし攻撃者がビットコインネットワークに参加している全計算機の計算パワーの51パーセントを掌握すれば,攻撃者はビットコインネットワークを乗っ取ることが出来ます.ビットコインネットワークを乗っ取れば,攻撃者は不正な取引の正当化,正当な取引の拒否,採掘の独占など,好き放題が出来ることになります.これが「51パーセント攻撃」と呼ばれるもので,有効な防御方法はありません.しかし,このような攻撃が成功した途端にビットコイン自体の価値が失われるため,攻撃を行う動機は殆ど無いと見られています.また,ビットコインネットワーク全体の計算パワーが膨大であるため,秘密裏に51パーセント攻撃を仕掛けるのも事実上は不可能でしょう.
このようにしてビットコインは「ビザンチン将軍問題」を解いたことになります.歴史上,ビザンチン将軍問題を現実的に解いたのはこのサトシ・ナカモトの方法が初めてです.
現実的な脅威
ビットコインに対する現実的な脅威は,他のウェブサービスと同じで,ビットコイン所有者の秘密鍵の流出ではないでしょうか.もし秘密鍵が攻撃者の手に渡るか推測されてしまうと,その秘密鍵を使ってビットコインを盗まれてしまいます.ビットコインネットワークには「XさんがYさんへZビットコイン(BTC)を支払います」というメッセージが「Xさん」によって流されていることを思い出してください.攻撃者YがXさんの秘密鍵を持っていたらどうなることか,おわかりですね?

2014年にビットコインの取引を停止した「マウントゴックス」社は,同社の発表によると85万BTCを盗まれたそうです.自社保有分の10万BTCに加えて,顧客から預かっていた75万BTCを失ったのです.これは当時存在していたビットコイン総量の約7パーセントに相当し,約470億円の値がついていました.その結果,マウントゴックス社は莫大な負債を負い,経営破綻しました.
その後なのですが,マウントゴックス社の破産管財人は,裁判所の許可を得てマウントゴックス社に残されていたビットコインを売却します.このときビットコインの相場が急上昇していたこともあって,なんと同社は負債をほぼ返済してしまいました.とは言え「盗んだ」ビットコインの持ち主は,マウントゴックス社のユーザから本来得たはずの利益を掠め取ったままなので,これで一件落着とは行きません.
2021年6月8日,エルサルバドルが国家としては初めてビットコインを法定通貨に定めました.エルサルバドルは「サルバドール・コロン」を法定通貨としていましたが流通しておらず,2001年には米ドルに地位を譲っていました.ビットコインは米ドルを置き換えるわけではなく,併用されるようです.ビットコインの経済的価値は,それが流通していることに依存しています.何らかの理由で誰もビットコインを欲しがらなくなれば,ビットコインはサルバドール・コロンと同じことになります.
また,ブロックチェーンというシステムそのものは安全だったとしても,ビットコインネットワーク参加者が秘密鍵を適切に保護しているかどうかは別問題です.法定通貨であっても,南京錠しか掛けられない金庫に入れておいたのでは簡単に破られるのと同じです.もしビットコインをこれから購入しようと考えていらっしゃるのであれば,口座を提供する会社が十分なセキュリティ対策を施していること,そしてあなた自身が十分なパスワード管理をしていることを確認してください.特に自分のパスワードが頭に入っている人は要注意です.人間が覚えられるパスワードなど一瞬で破られます.
サトシ・ナカモトはNSA?
締めくくりに,興味深い説をひとつご紹介しましょう.サトシ・ナカモトはアメリカ国家安全保障局(NSA)だという説です.サトシ・ナカモトがNSAの(元)局員だというのではなく,サトシ・ナカモトがNSAによって作られた虚構だという説です.[参考文献]
この説をあながち荒唐無稽とは言えない理由もあるのです.
1970年代,アメリカ政府は暗号化アルゴリズムの標準化の必要性を感じ,公募の結果IBMに設計を依頼しました.その結果誕生したのが「データ暗号化標準(DES)」で,その後の暗号化アルゴリズムの基礎にもなりました.
DESの暗号化アルゴリズムはNSAの承認を受けて,世界的に使われるようになったのですが,その承認プロセスが機密だったために「NSAがDES暗号にバックドアを仕込んだのではないか」という噂が囁かれました.とりわけ,暗号解読を難しくするための内部機構である「Sボックス」という一種の乱数表をNSAがIBMに差し替えさせたために,NSAだけがDES暗号を解読できるのではないかという噂が2000年頃までありました.僕自身,学生時代に暗号学の講義で先生からそのような噂を聞きました.
ところが実際はこうだったのです.
当時NSAだけがある暗号解読技術を持っていました.そして,IBMが準備したDES暗号の最初のバージョンはNSAの秘密技術に対して脆弱だったため,NSAが「Sボックス」をより安全なものに差し替えたのです.つまりNSAの指導によってDES暗号はより安全なものになったのでした.この暗号解読技術は現在では「差分解読法」として知られており,当時からNSAが隠し持っていたことが複数の証拠から突き止められています.
教訓はこうです.NSAがもしその気になれば,重大な隠し事を出来る.
これが,サトシ・ナカモト=NSA説の拠り所になっています.NSAには何かをでっち上げる意思も,その能力もあるということですね.ロシアのセキュリティ企業「カスペルスキー」はこの説を唱えています.
最近,もうひとつこの説を補強する事件がありました.前号でお伝えしたとおり,アメリカ司法省がクラッカー集団「ダークサイド」から63.7BTCを「取り返した」事件です.この司法機関によるビットコインの「窃盗」にはNSAが関与していました.
NSAがサトシ・ナカモトの正体ではなかったとしても,少なくともビットコインネットワークで使われる暗号を破る技術をNSAは持っているのかもしれません.
なおDES暗号は現在では使われていません.2002年にはDESの後継規格となるAESが採択されています.2012年に設計された専用のDES解読機は,最大26時間で任意のDES暗号を解読出来たそうです.現在のところAESは安全と考えられていますが,金庫の丈夫さを信じて単純な鍵を使っていたのでは,金庫の意味がありません.
安全な鍵(パスワード)の管理に関しては,こちらのQ&Aを追いかけてみてください.
おすすめ書籍
参加者が誰もお互いを信用し合っていないからこそ,正確な計算結果が未来永劫保存される──.暗号通貨(仮想通貨)ビットコインを支える仕組みとして登場したブロックチェーンは,かつてのインターネットのように新たなインフラへと育ちつつある.本書はその本質と構造をわかりやすく解説し,新たな応用先まで展望.技術解説書のトップ著者が挑んだ,「これ1冊で網羅できる」ブロックチェーンの決定版入門書!
ブロックチェーンについてより詳しく知りたい方は,この本から始められてはどうでしょうか.大変読みやすく,丁寧に解説されていました.プログラミングの出来る方は,本書の次にエンジニア向けのブロックチェーンの教科書へと進まれることをおすすめします.
おすすめTEDトーク

ブロックチェーンとは何でしょう? 知らなければ,知っておいたほうが良いです.知っていたとしても,たぶんそれが正確にどう働くのか明確にする必要があることでしょう.お金,ビジネス,政府,社会を大きく変える可能性を持った第2世代のインターネットとも言うべきこの画期的な信用構築技術を,ドン・タプスコットが分かりやすく解説してくれます.
このニュースレターでは毎号振り返りの動画をお送りしているのですが,このTEDトークを見つけてしまって,ものすごくハードルが上がってしまいました.僕の動画よりも,是非こちらをご覧ください.トークの最後に,ブロックチェーンの驚きの利用方法も出てきます.
Q&A
匿名質問サイト「マシュマロ」および実名質問サイト「Quora」で質問を受け付けています.普段はツイッターでお返事を書いていますが「ニュースレター読んでます」と入れていただければ,こちらのニュースレターでより長めの回答を書かせていただきます.
今週も本文を長く書きすぎてしまったので,短めのQ&Aをご紹介させていただきます.
「ヤングココナッツ」はどうやったら飲めますか?
回答は動画でご覧ください.
こちらの匿名質問サイトで質問を受け付けています.質問をお待ちしております.
振り返り
このニュースレターでは「振り返り」動画を公開しています.今週は引越し先の新しい教授室からお送りしました.
動画の音声だけを切り出してポッドキャストにもしています.
是非お楽しみください.
あとがき
先週,今週とビットコインの話題をお伝えしました.現在のビットコインの相場を確認するために,執筆しながら時々取引所のウェブサイトへアクセスしていたのですが,24時間で10パーセントも上下するのですね.僕にはとても運用できそうにありません.随分昔に数千円ぶんのビットコインを買っていたのですが,数年前の冬,裁判所からの帰り道で身も心も寒かったので,日本円に換金して赤いダウンジャケットを買ってしまいました.いまは数ミリBTCだけが僕の口座に残っています.
ところで,このニュースレターの発行元である theLetter からのアドバイスで,タイトルの頭に入れさせていただいた【第○○号】の表記をタイトルのお尻に変更させていただこうかと思っています.第29号までは現在のスタイルで配信し,第30号から変更しようと思っていますが,また皆様のコメントをいただければ幸いです.
ニュースレター開始前から始めていたポッドキャスト「Kanayafrica」と,その収録風景を流していたYouTubeチャンネル「Kanayafrica YouTube版」は,このニュースレターの振り返り動画サイトとして完全に方向転換しました.また過去にBGMが大きすぎたものがあったため,素材が残っていたものに関しては再編集を施しました.僕は TEDxSaikai という地域TEDイベントの映像編集もしていまして,Macのドライブの容量がすぐに足りなくなってしまうので,デジタル保存の研究者としてはあるまじきことなのですが,自分の映像は撮った端から捨てています.そのせいで全ては救いきれなかったのですが,いくつかは聞き取りやすくなったのではないかと思います.
またこのニュースレターの振り返り音声としてスタートしたポッドキャスト「Steamship」ですが「Kanayafrica」の方向転換に併せて,本ニュースレターの音声版として再出発しました.ウェブサイトも新しく STEAM.fm としました.古い音声も再編集して「シーズン1」として残しましたので,よろしければお楽しみください.(他にちょっとした技術的理由と米Medium社の方針転換の影響で,このニュースレターの英語版のURLが https://medium.com/the-steam に変更になりました.)
最近,音声メディアやYouTubeライブ配信に呼んで頂く機会がいくつかありました.特にポッドキャスト番組「Quo-radio」は質問サイト「Quora」ユーザさんが始められた番組で,僕も第7回と第11回に出演させていただきました.こちらは大阪弁で出演させていただいています.
このポッドキャストの収録で「なんで関西人なのにきれいな共通語を喋れるのですか?」と聞かれたのですが,実は僕はネイティブ関西人ではないんですよね.僕が一番自然に話せる言葉は,言語学者の金水敏先生によると「西宮ピジンの2世」なんだそうです.言語学すごい…と腰を抜かしたのは,僕の母が西宮生まれの東京人であることを金水先生にお伝えしていなかったからです.
それから!
大阪の古い友人のご縁で「コンセントカフェ@zoom店」というYouTubeライブ配信番組に月3回出演させていただいています.こちらは「世界遺産の旅」というテーマでお送りしていまして,アーカイブでもご覧いただけます.前回の放送では「はじめての海外ひとり旅はどうやったらいいの?」をテーマに,僕も生徒になってゲストの先生に教えて頂くというスタイルでお送りしました.こちらも大阪弁でお送りしています.
今週も最後までお読みいただきありがとうございます.よろしければボタンを押して行ってくださいませ.(ボタンは匿名化されています.集計したデータはこのニュースレターの内容改善以外には用いません.)
では,また来週,お目にかかりましょう.
ニュースレター「STEAM NEWS by Ichi」
発行者:いち(金谷一朗)
TEDxSaikaiファウンダー・パイナップルコンピュータ代表・長崎大学情報データ科学部教授
バックナンバーはこちらから👉 https://steam.theletter.jp
匿名質問はこちらから👉 https://marshmallow-qa.com/kanaya
「STEAM NEWS」をメールで読みませんか?
コンテンツを見逃さず、購読者限定記事も受け取れます。