シードフレーズの総当たり攻撃はどれくらい速い?(2026年)
目次
暗号資産保有者が最もよく抱く恐怖は、誰かが自分のシードフレーズを推測することです。2,048語のリストから選ばれた12語 -- 解読はどれほど難しいのでしょうか?推測ではなく数学に基づいた答えは、適切に生成されたシードフレーズの総当たりは単に難しいのではなく、存在する、または存在すると予測されるあらゆる技術でも物理的に不可能だということです。
この記事では数字を詳しく見ていき、現在と将来のハードウェアによる現実的な攻撃シナリオを検討し、シードフレーズに対する本当の脅威が総当たりとは無関係である理由を説明します。
エントロピーの数学¶
12語のBIP39シードフレーズは128ビットのエントロピーをエンコードします。各単語は2,048語の標準化されたリストから選ばれ、各単語は11ビットの情報をエンコードします(2^11 = 2,048のため)。12語は合計132ビットをエンコードし、そのうち128ビットがエントロピー、4ビットがチェックサムです。
有効な12語シードフレーズの総数は:
2^128 = 340,282,366,920,938,463,463,374,607,431,768,211,456
これは約3.4 x 10^38、つまり340澗(undecillion)の組み合わせです。
24語のシードフレーズは256ビットのエントロピーをエンコードし、次の結果を生じます:
2^256 ~ 1.16 x 10^77の組み合わせ
2^256を理解するために:観測可能な宇宙の原子数の推定値は約10^80です。24語のシードフレーズは、存在するすべてのものの原子数と数桁の差のキースペースを持ちます。
これらは恣意的な数字ではありません。Bitcoin、Ethereum、およびBIP39ニーモニックを使用するすべての暗号資産のセキュリティモデルの基盤です。エントロピーの仕組みの詳細な説明は暗号資産におけるエントロピーとはをご覧ください。
2^128の組み合わせ:それが意味すること¶
大きな数は直感的に理解するのが困難です。2^128の規模を理解するいくつかの方法を紹介します。
コンピューター速度でのカウント¶
1秒間に1兆(10^12)個のシードフレーズを確認できるコンピューターがあると仮定しましょう。これは現在の単一マシンが達成できるものを遥かに超えていますが、寛大に見積もりましょう。
その速度で2^128のすべての組み合わせを確認するのにかかる時間:
3.4 x 10^38 / 10^12 = 3.4 x 10^26秒
宇宙の年齢は約4.3 x 10^17秒(138億年)です。したがって、この単一コンピューターがビッグバン以来毎秒1兆回の確認を実行していたとすると、大まかに以下だけ完了したことになります:
4.3 x 10^17 / 3.4 x 10^26 = 0.0000000013%の探索空間
12語シードフレーズを毎秒1兆回の推測で総当たりするには、現在の宇宙の年齢の約100億倍が必要です。
エネルギー制約¶
ランダウアーの限界として知られる計算の根本的な物理的制限があります:1ビットの情報を消去するには最低kT ln(2)ジュールのエネルギーが必要で、ここでkはボルツマン定数、Tは温度です。室温(300K)では、これはビット演算あたり約2.85 x 10^-21ジュールです。
2^128の状態を巡回するには、ランダウアーの限界で動作する理論的に完璧なコンピューターでさえ以下のエネルギーが必要です:
2^128 x 2.85 x 10^-21 ~ 9.7 x 10^17ジュール
これは太陽の年間エネルギー出力(3.8 x 10^26ワット)の約2.5マイクロ秒に相当します -- すべての演算が物理学が許す絶対最小エネルギーを使用すると仮定すれば管理可能に聞こえます。しかし実際のコンピューターは演算あたり何桁も多くのエネルギーを消費します。2^128に対する現実的な総当たり攻撃は、惑星規模のリソースを超えるエネルギー予算が必要です。
2^256の場合、エネルギー要件は観測可能な宇宙全体が提供できるものを超えます。
宝くじの確率との比較¶
一般的な国家宝くじの当選確率は約3億分の1(おおよそ2^28)です。12語シードフレーズを最初の試みで当てることは、その宝くじに2^100回連続で当選することと同等です。これは効果を狙った誇張ではなく、文字通りの数学的比較です。
GPUおよびASIC攻撃シナリオ¶
理論から実践に移り、2026年に攻撃者が実際に展開できるものを考えてみましょう。
現在のGPU性能¶
ハイエンドGPU(NVIDIA RTX 5090など)は毎秒約20〜30億のSHA-256ハッシュを実行できます。BIP39シードフレーズの導出には2,048回の反復でPBKDF2-HMAC-SHA512を実行し、その後キー導出が必要です。これは各シードフレーズの確認に約4,096回のSHA-512演算が必要であることを意味します。
GPUあたりの有効シードフレーズ確認数:毎秒約50万〜100万回。
1,000台のGPUが並列で動作しても、毎秒約10^9回の確認に到達します。2^128の可能性に対して:
3.4 x 10^38 / 10^9 = 3.4 x 10^29秒 ~ 10^22年
これは10垓(sextillion)年で、宇宙の年齢の約7,000億倍です。
ASICマイニングファーム¶
Bitcoin ASICマイナーは地球上で最も強力なSHA-256ハードウェアです。2026年初頭の時点で、Bitcoin ネットワーク全体は毎秒約600エクサハッシュ(6 x 10^20ハッシュ/秒)を実行しています。このネットワーク全体がシードフレーズのクラッキングに転用されても(PBKDF2ステップのため直接は不可能ですが)、有効確認速度は2,048回反復のPBKDF2要件により劇的に低下します。
楽観的推定:この作業のために専用ASICが設計された場合、Bitcoin マイニングネットワーク全体で毎秒約10^17回のシードフレーズ確認が可能かもしれません。
3.4 x 10^38 / 10^17 = 3.4 x 10^21秒 ~ 10^14年
それでも100兆年です。現在の宇宙の年齢の約7,000倍です。
国家レベルの攻撃¶
政府が全世界のGDP(100兆ドル)に相当する予算をシードフレーズクラッキングハードウェアの構築に投入し、そのハードウェアが現在のASICより1,000倍効率的であっても、数学は意味のある形で変わりません。推定値から数桁を削って、おそらく10^10年まで引き下げることができるかもしれませんが -- それでも宇宙の年齢の100倍です。
12語 vs 24語¶
128ビット(12語)がすでに総当たりを超えているのに、なぜBIP39は24語(256ビット)のオプションを提供しているのでしょうか?
現在のセキュリティ:どちらも十分¶
古典的なコンピューティング攻撃に対して、128ビットのエントロピーは破れません。既存技術のいかなる組み合わせでも、探索時間を何らかの形で現実的な範囲に短縮することはできません。日常的な暗号資産の使用において、12語のシードフレーズは十分以上のセキュリティを提供します。
量子コンピューティングの考慮事項¶
量子コンピューティング技法であるGroverのアルゴリズムは、理論的に2^n個の項目の非構造的空間を2^(n/2)ステップで探索できます。128ビットのシードフレーズに適用すると、有効セキュリティは64ビットに低下します -- おおよそ1.8 x 10^19の組み合わせです。
2^64は破れるでしょうか?十分に大きな量子コンピューターがあれば潜在的には可能ですが、迅速ではありません。依然として数十億の量子演算が必要であり、現在の量子コンピューターは2,000個未満のノイズの多いキュービットしか持っていません -- 大規模なGroverのアルゴリズムに必要な数百万のエラー訂正キュービットには遠く及びません。
24語(256ビット)のシードフレーズはGroverのアルゴリズム下で128ビットセキュリティに低下し、将来の量子コンピューターに対しても確実に破れない範囲を維持します。数十年のセキュリティを計画するなら、24語が追加の安全マージンを提供します。
暗号資産に対する量子脅威の包括的な分析は量子コンピューティングと暗号資産の脅威をご覧ください。
実用的な推奨¶
ほとんどのユーザーにとって、適切なエントロピーで生成された12語のシードフレーズは安全です。長期間(10年以上)にわたって高額な価値を保管し、量子コンピューティングの進歩に備えたい場合は24語のフレーズを使用してください。SafeSeedのBitcoin シードフレーズ生成ツールとEthereum シードフレーズ生成ツールは12語と24語の両方の生成をサポートしています。
実際の攻撃ベクター(総当たりではない)¶
シードフレーズの総当たりが不可能なら、人々は実際にどのように暗号資産を失うのでしょうか?答えは、実際の攻撃が数学ではなく、人間、環境、または保管方法を標的にしているということです。
フィッシング¶
攻撃者はユーザーを騙してシードフレーズを入力させる偽のウォレットウェブサイト、復元ページ、サポートチャネルを作成します。いかなる暗号学的強度も、自発的にキーを渡すことからは保護できません。注意すべき具体的な攻撃パターンはシードフレーズを狙う一般的な暗号資産詐欺をご覧ください。
マルウェア¶
キーロガー、画面キャプチャツール、クリップボードハイジャッカーが、シードフレーズの入力中や表示中に記録できます。感染したデバイスでシードフレーズを生成すると、すべての数学的セキュリティが無効化されます。より安全な生成方法のガイダンスはオンラインシード生成ツールは安全か?をご覧ください。
物理的な盗難¶
紙に書かれて施錠されていない引き出しに保管されたシードフレーズは、物理的にアクセスできる誰にでも脆弱です。コールドストレージのベストプラクティスと安全な物理的保管が不可欠です。コールドストレージガイドで物理的セキュリティの側面を扱っています。
ソーシャルエンジニアリング¶
攻撃者はウォレットサポートチーム、取引所スタッフ、さらには友人を装い、被害者にシードフレーズを明かすよう説得します。正当なサービスがシードフレーズを要求することは絶対にありません。
弱いエントロピー¶
シードフレーズの生成に使用された乱数生成器に欠陥がある場合、実際のエントロピーは128ビットよりはるかに少ない可能性があります。Math.random()や予測可能なソースから生成されたシードフレーズは30〜50ビットの有効エントロピーしか持たない可能性があり、これは総当たりの範囲内です。これがエントロピーソースが極めて重要な理由です。完全な説明は暗号資産におけるエントロピーとはをご覧ください。
サプライチェーン攻撃¶
侵害されたハードウェアウォレット、改ざんされたソフトウェアダウンロード、デバイスの梱包に含まれた事前生成されたシードフレーズ -- これらすべてが文書化された攻撃ベクターです。常にツールの整合性を確認し、他の誰かが生成した、またはデバイスに事前印刷されたシードフレーズは絶対に使用しないでください。
シードフレーズを解読不可能にする¶
BIP39シードフレーズの数学的セキュリティはすでに事実上絶対的です。あなたの役割は、実際のセキュリティが理論的セキュリティと一致するようにすることです。
1. 暗号学的に安全な生成ツールを使用する¶
crypto.getRandomValues()または同等のハードウェアバックアップのランダム性を使用するツールでシードフレーズを生成してください。SafeSeedの生成ツールはすべてのエントロピーにWeb Crypto APIを使用し、128ビットまたは256ビットの完全なランダム性が暗号学的に健全であることを保証します。
2. 可能な場合はオフラインで生成する¶
シードフレーズを生成する前にインターネット接続を切断してください。エアギャップ環境はネットワークベースの流出を排除します。ステップバイステップの手順はBitcoin シードフレーズのオフライン生成方法をご覧ください。
3. 安全に保管する¶
シードフレーズを耐久性のある素材に記録してください(スチールプレートは紙より火災や水害に強い)。物理的に安全な場所に保管してください。分散バックアップが必要な場合はシャミアの秘密分散法を検討してください。秘密鍵セキュリティのベストプラクティスガイドで保管について詳しく扱っています。
4. シードフレーズをデジタルで入力しない¶
信頼できるアプリケーションで自分から開始したウォレット復元でない限り、シードフレーズをウェブサイト、アプリケーション、デジタル文書に入力しないでください。誰かがオンラインでシードフレーズを「確認」するよう求めた場合、それは常に詐欺です。
5. パスフレーズを検討する¶
BIP39はシード導出時にニーモニックと組み合わされるオプションのパスフレーズ(「25番目の単語」と呼ばれることもある)をサポートしています。これは保護層を追加します:攻撃者が12語または24語を入手しても、パスフレーズなしではウォレットを導出できません。トレードオフは、パスフレーズを忘れると自分も資金にアクセスできなくなることです。
数字は明確です。適切に生成された12語のシードフレーズは340澗通りの可能な組み合わせを持ちます。いかなるコンピューター、コンピューターネットワーク、量子コンピューター、理論上の未来技術もその空間を探索することはできません。数学は破れるものに近くありません。破れるものと同じ宇宙にすらありません。
シードフレーズのセキュリティは完全に2つのことに依存しています:それを生成したエントロピーの品質と、それを秘密に保つあなたの規律です。この2つを正しく行えば、暗号学が残りを処理します。