Surfsharkがポスト量子暗号化(PQE)をアプリに実装した。Android、Mac、Linuxで最初にサポートされ、iOSとWindowsは近い将来対応予定だ。WireGuardプロトコルに事前共有鍵(PSK)を用いて実装された。同社CTOのドナタス・ブドヴィティス氏は、量子コンピューティングが現在の暗号化システムを侵害する脅威になると指摘した。
ExpressVPNは2025年1月に全プラットフォームで量子セキュア化を達成し、NordVPNは2025年5月までに全プラットフォーム対応予定だ。Mullvad、WindscribeもPQEをサポートする一方、Proton VPN、Private Internet Access、CyberGhost、IPVanishは未対応だ。Surfsharkの分析によると、40の人気アプリのうちPQEを使用しているのは8%のみで、銀行アプリは実装ゼロ、メッセージングアプリの18%が量子耐性を持つ。
From: 
Surfshark now supports post-quantum encryption – here’s what we know
【編集部解説】
ポスト量子暗号化は、量子コンピュータによる暗号解読に耐えうる次世代の暗号技術です。現在広く使われているRSAや楕円曲線暗号などの公開鍵暗号は、従来のコンピュータでは事実上解読不可能ですが、量子コンピュータが実用化されれば数分で破られる可能性があります。
2024年8月13日、米国標準技術研究所(NIST)が最初の3つのポスト量子暗号標準を正式発表しました。これはML-KEM(旧CRYSTALS-Kyber)、ML-DSA(旧CRYSTALS-Dilithium)、SLH-DSA(旧SPHINCS+)と呼ばれるアルゴリズムで、約8年にわたる国際的な競争と評価を経て選定されたものです。NISTは2035年までに量子脆弱なアルゴリズムを段階的に廃止する計画を示しており、この標準化は単なる技術的マイルストーンではなく、産業界全体への明確な移行シグナルとなっています。
最も深刻な脅威は「今収集し、後で復号化する(Harvest Now, Decrypt Later)」攻撃と呼ばれるものです。攻撃者は現時点で暗号化された通信を傍受・保存しておき、将来量子コンピュータが実用化された際に一斉に復号化するという手法をとります。つまり、今日やり取りされている機密情報は、たとえ現在の暗号で保護されていても、将来的に露呈するリスクを抱えているのです。
量子コンピュータが現在の暗号を破れるようになる日は「Q-Day」と呼ばれ、専門家の間でも意見が分かれています。楽観的な見方では数十年先、悲観的な見方では3〜5年以内としており、この不確実性こそがVPN業界を急速な対応へと駆り立てています。
Surfsharkを含む主要VPNプロバイダーは、WireGuardプロトコルに事前共有鍵(PSK)を組み合わせることでポスト量子耐性を実現しています。WireGuardはデフォルトではポスト量子暗号化をサポートしていないため、各社が独自に拡張実装を行う必要があります。ExpressVPNが2025年1月に全プラットフォームで対応を完了し、NordVPNも2025年5月に全プラットフォーム対応を完了しました。一方、Surfsharkは段階的展開を選択し、Android、Mac、Linuxから順次対応を進めています。これは、パフォーマンスへの影響を慎重に検証しながら、確実な実装を優先する戦略といえます。
Surfsharkの調査によれば、40の人気アプリのうちポスト量子暗号化を実装しているのはわずか8%にすぎません。特に銀行アプリは実装ゼロという深刻な状況です。メッセージングアプリではSignalやiMessageが先行していますが、業界全体としては対応が遅れています。
VPNサービスにとって、ポスト量子暗号化への移行は技術的な課題だけでなく、ユーザーのプライバシー保護という使命を果たすための必須要件となりつつあります。読者のみなさまも、自身が利用するサービスがこの移行にどう対応しているかを確認する良い機会といえるでしょう。
【用語解説】
ポスト量子暗号化(PQE)
量子コンピュータによる攻撃に耐えられるよう設計された次世代の暗号化技術。従来の公開鍵暗号方式(RSAや楕円曲線暗号など)は量子コンピュータによって短時間で解読される可能性があるため、NISTが格子ベース、ハッシュベースなどの数学的アプローチに基づく新しい暗号アルゴリズムを標準化した。
WireGuard
高速かつシンプルな設計のVPNプロトコル。従来のOpenVPNやIKEv2と比較してコード量が少なく、高いパフォーマンスを実現する。ただしデフォルトではポスト量子暗号化に対応していないため、VPNプロバイダーが独自に拡張実装を行う必要がある。
事前共有鍵(PSK)
通信を開始する前に、通信相手同士が事前に共有しておく秘密鍵。WireGuardにポスト量子耐性を追加する際、多くのVPNプロバイダーがこの方式を採用している。
Q-Day
量子コンピュータが現在の暗号化標準を破ることができるようになる日。専門家の間で到来時期については意見が分かれており、数年後とする見方から数十年後とする見方まで存在する。
「今収集し、後で復号化する」攻撃(Harvest Now, Decrypt Later)
攻撃者が現在暗号化されたデータを傍受・保存しておき、将来量子コンピュータが実用化された際に復号化する攻撃手法。現時点で解読できなくても、将来的に機密情報が露呈するリスクがあるため、早急なポスト量子暗号化への移行が求められている。
ML-KEM(旧CRYSTALS-Kyber)
NISTが2024年8月に標準化したポスト量子暗号の鍵カプセル化メカニズム。格子ベースの数学問題に基づき、一般的な暗号化用途に使用される。比較的小さな暗号鍵と高速な動作が特徴。
RSA暗号
現在広く使われている公開鍵暗号方式の一つ。大きな素数の因数分解が困難であることを利用しているが、量子コンピュータのショアのアルゴリズムによって効率的に解読される可能性がある。
楕円曲線暗号(ECC)
楕円曲線上の離散対数問題の困難性に基づく公開鍵暗号方式。RSAより小さな鍵サイズで同等の安全性を実現できるが、量子コンピュータには脆弱である。
【参考リンク】
Surfshark(外部)
リトアニアに本社を置くVPNサービスプロバイダー。2026年1月にAndroid、Mac、Linux向けにポスト量子暗号化を実装。
NIST(米国標準技術研究所)(外部)
米国商務省の機関。2024年8月に最初の3つのポスト量子暗号標準を正式発表。2035年までに量子脆弱なアルゴリズムの段階的廃止を計画。
ExpressVPN(外部)
イギリス領ヴァージン諸島を拠点とする大手VPNプロバイダー。2025年1月に全プラットフォームでポスト量子暗号化対応を完了。
NordVPN(外部)
パナマに本社を置く主要VPNサービス。2024年9月にLinux向けに導入し、2025年5月に全プラットフォームで対応を完了。
Proton VPN(外部)
スイスのプライバシー重視VPNサービス。ポスト量子暗号化の実装に慎重なアプローチを取り、Protonエコシステム全体での一斉対応を目指す。
Signal(外部)
エンドツーエンド暗号化メッセージングアプリ。PQXDH暗号化プロトコルを採用し、メッセージングアプリの中でもいち早く量子耐性を実現。
【参考記事】
NIST Releases First 3 Finalized Post-Quantum Encryption Standards(外部)
2024年8月13日のNIST公式発表。ML-KEM、ML-DSA、SLH-DSAの詳細と、2035年までに量子脆弱なアルゴリズムを段階的に廃止する計画を記載。
Post-quantum VPNs – necessary now or a premature move? | Tom’s Guide(外部)
VPN業界におけるポスト量子暗号化の導入状況を分析。主要プロバイダーの対応状況と、実装を急ぐべきか慎重に進めるべきかの業界内議論を紹介。
NordVPN announces post-quantum encryption support for all applications | Tom’s Guide(外部)
NordVPNが2025年5月に全プラットフォームで対応完了。2024年9月のLinux版から段階的に展開し、パフォーマンス影響を慎重に検証した経緯を説明。
Post-quantum encryption standards are here – a new era for VPN security begins | TechRadar(外部)
2024年8月のNIST標準発表を受けたVPN業界の動向を分析。Surfsharkが既にKyberアルゴリズムを選択していたことや、各社の慎重な実装姿勢を報告。
“Harvest Now Decrypt Later”: Examining Post-Quantum Cryptography and the Data Privacy Risks for Distributed Ledger Networks | Federal Reserve(外部)
連邦準備制度理事会による「今収集し、後で復号化する」攻撃の詳細な分析。将来の量子コンピュータで復号化するリスクが現時点で既に存在する脅威と警告。
【編集部後記】
みなさんが日常的に使っているVPNサービスやメッセージングアプリは、ポスト量子暗号化に対応しているでしょうか。今日やり取りした機密情報が、将来量子コンピュータによって解読されるかもしれない——そんな「今収集し、後で復号化する」攻撃のリスクを、私たちはどう受け止めればよいのでしょう。
Surfsharkの調査では、銀行アプリの対応率はゼロという現実もあります。この記事が、みなさんが利用するサービスのセキュリティについて、改めて考えるきっかけになれば幸いです。
