MoneroSwapper MoneroSwapper

Monero Bulletproofs+とBulletproofsの違い【2026】

MoneroSwapper · · · 1 min read · 11 views

Monero Bulletproofs+とBulletproofsの違い:2026年版徹底解説

2022年8月13日、Moneroのネットワークアップグレードは、ほとんどのユーザーが目にすることのない暗号技術の一部を静かに置き換えました。Bulletproofs+が従来のBulletproofsレンジプルーフに取って代わり、すべての取引から数バイトを削り、チェーンを監視する数千のフルノードの検証時間を短縮したのです。あなたがMoneroSwapperのような本人確認不要のサービスでXMRを動かしたことがあるなら、その取引にはこのプルーフが暗号学的な「手荷物」として同梱されていました。つまり、あなたが何もないところからこっそりコインを発行していないという数学的な証拠です。

この2つの名前はほとんど同じに聞こえますし、リリースノートがその差をきちんと説明することはまずありません。Bulletproofs+はプライバシーのアップグレードなのでしょうか。それとも速度の向上でしょうか。あるいはまったく新しい仕組みなのでしょうか。結論から言えば、これはプライバシーの強化ではなく、効率の改善です。本記事では、それぞれのプルーフが実際に何をしているのか、なぜMoneroが2018年10月と2022年8月にそれぞれ採用したのか、そして2026年の普通の取引にとって両者の実用上の差がどれほど意味を持つのかを、順を追って解き明かしていきます。

そもそもMoneroにレンジプルーフが必要な理由

Moneroは2017年1月に導入されたRingCT(Ring Confidential Transactions)を使って取引金額を隠します。金額を平文で書き込む代わりに、各アウトプットはC = xG + aHという形のPedersenコミットメントを保存します。ここでaは隠された金額、xはランダムなブラインディング係数、GとHは固定された楕円曲線上の生成元です。ネットワークは、関係する数値を一切知ることなく、インプットの合計とアウトプットの合計が一致することを検証できます。

しかし、この秘匿性は危険な抜け穴を生み出します。誰も金額を見られないのなら、悪意ある送信者が曲線の群位数を超えて折り返すような巨大な値をコミットするのを、いったい何が止めるのでしょうか。それはつまり、何もないところからXMRを生み出すことにほかなりません。ここでレンジプルーフが本領を発揮します。

  • インフレ防止: レンジプルーフは、隠された金額がすべて有効な区間[0, 264)の内側に収まっていることを、その数値を明かさずに証明します。マイナスの金額も、整数オーバーフローも、偽造コインも存在し得ません。
  • ゼロ知識性: プルーフは実際の値について何も漏らしません。検証者が知るのは「この数値は範囲内にある」という事実だけで、数値そのものは決してわかりません。
  • トラステッドセットアップ不要: 多くのzk-SNARK構成とは異なり、BulletproofsとBulletproofs+は秘密の儀式を必要としません。後からプルーフ偽造に悪用され得る「有害な廃棄物(toxic waste)」が存在しないのです。
  • 集約(アグリゲーション): 1つのプルーフで取引のすべてのアウトプットを一度にカバーできるため、アウトプットが増えてもサイズは線形ではなく対数的にしか増えません。

これらのプルーフに費やされる1バイト1バイトは、地球上のすべてのノードに複製され、ブロックチェーン上に永久に残ります。だからこそ、レンジプルーフの効率は脚注では済まされません。それはMoneroの手数料、同期時間、そして長期的なストレージ負担を直接左右し、いずれも通貨としての代替可能性(fungibility)を支える土台となっているのです。

Bulletproofs:2018年のブレークスルー

Bulletproofsの登場以前、Moneroはレンジプルーフの構築にBorromeanリング署名を使っていました。機能はしましたが、容量の面では過酷でした。プルーフは証明するビット数に比例して線形に増大し、わずか2アウトプットの取引でもおよそ13KBにまで膨れ上がったのです。すでに重いリング署名データを抱えるプライバシーチェーンにとって、これは持続不可能でした。

Benedikt Bünz、Jonathan Bootleらが2017年に提案したBulletproofsは、2018年10月のネットワークアップグレードでMoneroのメインネットに着地しました。結果は劇的でした。典型的な取引は約80%縮小し、約13KBからおよそ2.5KBへと落ち込み、手数料の中央値は95%以上も崩落したのです。これはMoneroの歴史における単一の効率改善として、いまなお最大級のものの1つです。

Bulletproofsの内部はどう動くのか

Bulletproofsの心臓部にあるのが内積論証(inner-product argument、IPA)です。証明者は金額のビットを2つのベクトルに符号化し、その内積が特定の値に等しいことを検証者に納得させなければなりません。ベクトル全体を送る代わりに、プロトコルは複数のラウンドを実行し、毎回ベクトルの長さを半分にしていきます。log2(n)ラウンドの後には、送信すべき曲線点はほんの一握りしか残りません。

この対数的なスケーリングこそが魔法です。64ビットの範囲を証明するのに必要なプルーフはわずか数百バイトで済み、複数のアウトプットを集約してもまったく新しいプルーフではなく数個の追加要素が増えるだけです。内積論証をゼロ知識にするために、素のBulletproofsはコア論証と一緒に送られる追加のブラインディング項を付け足しています。

バッチ検証

Bulletproofsはまた、多数のプルーフを1つのバッチ処理でまとめて検証することをノードに許します。これは1つずつ個別にチェックするよりもはるかに安価です。フルノードが何年分もの履歴を同期するときや、メンプールからの取引でぎっしり詰まった採掘されたばかりのブロックを検証するときに、この差は途方もなく効いてきます。

Bulletproofs+とBulletproofs:本当の違い

Bulletproofs+は、Heewon Chung、Kyoohyung Han、Chanyang Ju、Myungsun Kim、Jae Hong Seoによる2020年の論文から生まれました。その核心となる革新は、内積論証を重み付き内積論証(weighted inner-product、WIP)に置き換えたことです。WIPはゼロ知識のブラインディングを論証そのものの中に直接折り込むため、証明者は素のBulletproofsが必要としていた別個のマスキング項を、もはや送信する必要がなくなります。

送信する要素が減るということは、より小さなプルーフとわずかに安い検証を意味します。Moneroへの実装では、Bulletproofs+は取引のレンジプルーフ部分をおよそ5〜7%削減し、検証もそこそこ高速化しました。これは段階的な改良であり、2018年の80%という飛躍にはまったく及びませんが、数百万件の取引とすべてのノードのストレージにわたって積み重なる「ただ同然の節約」なのです。

決定的に重要なのは、プライバシー特性が同一だという点です。両方のプルーフは金額を等しくしっかり隠し、両方とも同じ64ビットの範囲と同じPedersenコミットメント方式に依拠しています。Bulletproofs+を「よりプライベート」だと宣伝する人がいたら、それは誤りです。プライバシーはRingCT、リング署名、そしてCLSAGからもたらされるものであり、レンジプルーフが保証するのは金額の正直さだけなのです。

項目Bulletproofs(2018)Bulletproofs+(2022)
Moneroでの有効化2018年10月(v8)2022年8月(v15)
コア論証内積論証(IPA)重み付き内積論証(WIP)
ゼロ知識ブラインディング別個の追加項を送信論証の中に折り込み
前世代比のプルーフサイズBorromean比 約80%減Bulletproofs比 約5〜7%減
検証速度高速・バッチ可能わずかに高速・バッチ可能
トラステッドセットアップ不要不要
証明する範囲[0, 264)[0, 264)
プライバシーへの影響金額を隠す同一 — 効率のみ

2022年8月のアップグレードは、レンジプルーフの差し替えだけにとどまりませんでした。ウォレットのスキャンを約40%高速化するビュータグ(view tags)も同時に投入され、リングサイズはデコイ11個から16個へと引き上げられました。Bulletproofs+は、リングが大きくなることで増えた分の重さを相殺するのに一役買い、匿名集合(anonymity set)が拡大してもなお取引を軽量に保ったのです。

レンジプルーフは取引の中をどう旅するのか

これらのプルーフがXMR送金のライフサイクルのどこに位置するのかを見ておくと理解が進みます。以下のステップは、1つのアウトプットが生成から確認までたどる道のりを追ったものです。

  1. 金額をコミットする。 ウォレットはランダムなブラインディング係数を選び、各アウトプットについてPedersenコミットメントC = xG + aHを構築し、値をオンチェーンで隠します。
  2. プルーフを生成する。 ウォレットはすべてのアウトプットをカバーする1つの集約されたBulletproofs+レンジプルーフを構成し、各金額が[0, 264)に収まることを、それを露出させずに証明します。
  3. ブロードキャストする。 署名された取引 — リング署名データ、キーイメージ、コミットメント、そしてレンジプルーフ — がDandelion++を通じてネットワークに伝播し、メンプールに着地します。
  4. 検証する。 各フルノードはレンジプルーフをチェックし(多くの場合、他のものとバッチ処理されます)、インプットとアウトプットのバランスを確認し、リング署名を検証してから中継します。
  5. 確認する。 マイナーが取引をブロックに含め、10回の確認(コンファメーション)を経た後、その資金は確定し利用可能と見なされます。
1つのレンジプルーフが検証に失敗すれば、取引全体が拒否されます。「部分的な」受理は存在しません。このオール・オア・ナッシングの規則こそが、インフレ防止の保証を鉄壁にしているのです。

実際のところ、この違いは何を意味するのか

普通のユーザーにとって、BulletproofsからBulletproofs+への切り替えは目に見えないものでした。ウォレットを更新すれば、あなたの取引は単純に新しいプルーフを構築し始めただけです。コインが使えなくなることもなく、アドレスが変わることもなく、あなたのプライバシーの姿勢に関して何かが動くこともありませんでした。恩恵はネットワークのレベルで着地したのです。

2026年における標準的な2インプット・2アウトプットのMonero取引は、およそ1.5KBの重さで、通常の優先度なら1米セントの何分の一かのコストで済みます。リングサイズが16に跳ね上がった後でもその数字が低く保たれている理由の1つがBulletproofs+です。5〜7%というレンジプルーフの節約を、毎年確認される数百万件の取引にかけ合わせれば、目に見えて細身になったブロック、新規ノードのより速い初期同期、そして控えめなハードウェアでTor越しにMoneroを動かす人にとってのより軽いフットプリントが得られます。

この効率はそのままアクセシビリティへとつながります。手数料が下がり取引が小さくなれば、ノードを立ち上げるコストも安くなり、それがネットワークの分散性を保ちます。たとえば中古のラップトップや小型のシングルボードコンピュータでフルノードを動かし、Tor越しに接続するような構成でも、プルーフが軽いほど検証の負荷とディスクの消費が抑えられ、長期間の運用が現実的になります。分散性は誰か特定の組織が支えるものではなく、こうした「無理なく動かせる」小さなノードの積み重ねによって成り立っているのです。あなたがMoneroSwapperを通じてXMRへスワップし、自分のウォレットへ引き出すとき、その取引の内側に乗っているプルーフは、2026年の他のすべてのユーザーが生み出すのと同じ軽量なBulletproofs+オブジェクトです。1つのXMRアウトプットが暗号学的に次のものと見分けがつかないからこそ、代替可能性が保たれるのです。

レンジプルーフはMoneroのプライバシースタックの1層に過ぎない、という点は強調しておく価値があります。日本でも国税庁が暗号資産の損益を雑所得として課税対象に位置づけ、金融庁(FSA)が交換業者を厳しく監督していますが、レンジプルーフは送信者・受信者・金額について何も明かしません。その唯一の仕事は供給量に関する正直さであって、匿名性ではありません。匿名性の確保はプロトコルの別の場所で担われているのです。

日本の規制という文脈で読む

日本のユーザーにとって、この技術的な議論は規制の現実と切り離せません。金融庁の指導を受け、国内の登録交換業者は2018年頃からMoneroをはじめとするいわゆる「匿名性の高い暗号資産」の取り扱いを相次いで終了しました。その結果、日本に住む人がMoneroに触れる経路は、国内の規制された取引所ではなく、海外サービスやMoneroSwapperのようなアカウント不要のスワップ、あるいはピアツーピア取引へと移っています。

ここで誤解されがちなのが、Bulletproofs+のような効率改善が「規制逃れの強化」だという見方です。これは正確ではありません。Bulletproofs+が小さくしたのは取引のバイト数であって、追跡可能性の度合いではありません。金額を隠すのはRingCTとPedersenコミットメントの仕事であり、送信元を曖昧にするのはCLSAGリング署名とステルスアドレスの仕事です。Bulletproofs+はそのどれにも手を触れず、ただ「誰もXMRを偽造していない」ことを、より少ないバイトで証明しているだけなのです。

税務上の取り扱いも変わりません。国税庁の枠組みでは、XMRを売却・交換・決済に使った時点で日本円換算の損益を計算する必要があり、これはコインの裏側で動くプルーフがBulletproofsであろうとBulletproofs+であろうと一切無関係です。技術の世代交代は、あなたの記帳義務を軽くも重くもしないということを覚えておいてください。

数字で見る:プルーフサイズがなぜブロックチェーンを肥大化させるのか

「たかが5〜7%」と感じるかもしれません。しかしレンジプルーフのサイズが効くのは、その節約が二重に積み重なるからです。第一に、取引1件あたりの手数料はバイト単位で課金されるため、プルーフが小さければ送信者のコストが下がります。第二に、その取引はブロックに永久に刻まれ、世界中のすべてのフルノードに複製されます。つまり1件の節約が、ノードの数だけ複製され、チェーンが存続する限り保存され続けるのです。

具体的に考えてみましょう。仮にネットワークが1日あたり数万件の取引を処理し、その状態が何年も続くとすれば、レンジプルーフだけで毎日数百MB規模のデータが生成され続ける計算になります。ここで各プルーフを数%でも小さくできれば、年単位ではギガバイト級のストレージ節約に化けます。新しくノードを立ち上げる人がゼロからチェーン全体を同期する初期同期(initial sync)の時間も、それに比例して短くなります。

この点はMoneroの設計思想と深く結びついています。Moneroはあえてオンチェーンのプライバシーを選び、その代償としてBitcoinよりも重い取引データを抱えています。だからこそ、わずかなバイト数の削減でも積極的に取りに行く価値があるのです。Bulletproofs+の5〜7%は、リングサイズが11から16へ拡大したことで増えた重さを部分的に打ち消し、結果としてユーザーが体感する手数料を据え置く役割を果たしました。効率改善は、プライバシーの強化と分散性の維持を両立させるための「予算」を捻出しているとも言えます。

WIP論証はなぜ送信する要素を減らせるのか

もう少し踏み込んでみましょう。素のBulletproofsでは、内積論証そのものに加えて、ゼロ知識性を担保するための独立したブラインディング項をいくつか別送する必要がありました。証明者は「内積の値」を証明すると同時に、その過程で実際の金額が漏れないように余分なマスキング要素を添えていたわけです。これらの追加要素が、プルーフ全体のサイズを押し上げていました。

Bulletproofs+の重み付き内積論証(WIP)は、この発想を作り直しました。重み付けという仕組みによって、ゼロ知識のためのブラインディングを論証の数式構造そのものの中に吸収してしまうのです。その結果、別途送らなければならなかったマスキング項が消え、最終的に伝送される曲線点や要素の個数が減ります。検証者側で行うべき計算も、要素が減った分だけわずかに軽くなり、これが検証速度の小さな向上につながっています。

重要なのは、この再構成がセキュリティの前提を一切緩めていないという点です。証明される範囲は依然として[0, 264)のままで、トラステッドセットアップも不要なまま、ゼロ知識性も完全に保たれています。Bulletproofs+は、同じ保証を「より少ない材料で」実現する、いわば洗練された再設計なのです。プライバシーの度合いが変わらないのは、隠す対象も隠し方も本質的に同じだからにほかなりません。

FAQ

Bulletproofs+によって、私の古いMoneroは使えなくなったのですか?

いいえ。この変更は特定のブロック高で有効化されたコンセンサスレベルのアップグレードでした。2022年8月のフォーク後、更新されたウォレットは新しい取引のためにBulletproofs+プルーフを構築し始めただけです。旧Bulletproofs時代に受け取ったコインも問題なく使えます。プルーフは送信のたびに新しく生成されるものであって、あなたの残高と一緒に恒久的に保存されているわけではないからです。

Bulletproofs+はBulletproofsよりプライベートですか?

いいえ。両者はまったく同じ程度に金額を隠し、同一の[0, 264)の範囲を証明します。Bulletproofs+は純粋に効率の改善 — より小さなプルーフとわずかに高速な検証 — にすぎません。Moneroの実際のプライバシーはRingCT、ステルスアドレス、そしてCLSAGリング署名からもたらされるものであり、そのどれにもレンジプルーフは触れていません。

Bulletproofs+を使うために、何かする必要はありますか?

最新のウォレットを動かすだけで十分です。公式のMoneroソフトウェア(GUIとCLI)や評判の良いサードパーティ製ウォレットは、2022年のアップグレード以降、既定でBulletproofs+プルーフを構築しています。切り替えるべき設定もなく、実行すべき移行作業もありません。すべて自動です。

自分の取引がどちらのプルーフを使ったか確認できますか?

2022年8月のハードフォーク以降に作成された取引は、すべてBulletproofs+を使っています。ブロックエクスプローラーで取引の生データを見れば、レンジプルーフのバージョンを示すフィールドを確認できますが、日常的にそこまで掘り下げる必要はまずありません。フォーク前の古いブロックを遡れば従来のBulletproofs(さらに前ならBorromean署名)の取引が見つかります。いずれにせよ、どちらのプルーフであってもチェーン上で永続的に検証可能なままです。

なぜMoneroは代わりにzk-SNARKsを使わないのですか?

効率的なzk-SNARKシステムのほとんどはトラステッドセットアップの儀式を必要とし、そこで生み出される秘密のパラメータが万一漏洩すれば、攻撃者がプルーフを偽造し、検知されずに供給量を膨らませることが可能になってしまいます。BulletproofsとBulletproofs+はそうした儀式を必要とせず、Moneroのトラストレスな哲学と合致します。トレードオフは、プルーフがやや大きくなることと、検証が証明文のサイズに応じてスケールすることです。

Bulletproofs+は取引手数料を下げたのですか?

直接的な値下げというより、「値上がりを防いだ」という表現が正確です。手数料はおおむね取引のバイト数に連動します。2022年のアップグレードはリングサイズを11から16へ拡大し、これは本来なら取引を重くする変更でした。Bulletproofs+による5〜7%のレンジプルーフ削減とビュータグの導入が、その増加分を相殺し、ユーザーが支払う手数料を低い水準に保ったのです。差し引きで見れば、より大きな匿名集合を「ほぼ据え置きの手数料」で手に入れられた、というのが実際のところです。

他のプライバシーコインもBulletproofs+を使っていますか?

Bulletproofsとその系統の論証は学術的に公開されており、トラステッドセットアップも不要なため、Monero以外のプロジェクトでも秘匿金額や範囲証明の用途で採用例があります。ただし各プロジェクトは独自の取引構造やリング署名方式と組み合わせて実装するため、「同じ部品を使っている」ことが「同じプライバシーモデルである」ことを意味するわけではありません。Moneroの場合、Bulletproofs+はRingCT・CLSAG・ステルスアドレスという全体の中の1つの歯車として機能しています。

Bulletproofs+の次に来るものは何ですか?

次の大きな飛躍はFCMP++(Full-Chain Membership Proofs)です。これはリング署名を、16個のデコイのリングではなくブロックチェーン全体の中に各支出を隠すプルーフへと置き換えることを目指しています。独自の証明機構を用い、2025〜2026年にかけて活発にテストが進められ、将来のハードフォークに予定されています。FCMP++がメンバーシップ側のプライバシーを刷新しても、Bulletproofs+のようなレンジプルーフはおそらくその役目を保ち続けるでしょう。

よくある3つの誤解

誤解1:「Bulletproofs+に更新すると匿名性が上がる」 — これは本記事で繰り返し述べてきた通り、最もありがちな勘違いです。匿名性を担うのはリング署名・ステルスアドレス・RingCTであって、レンジプルーフではありません。Bulletproofs+が変えたのはサイズと検証コストだけです。

誤解2:「古いウォレットだと取引が追跡されやすくなる」 — フォーク後に古い形式のプルーフを生成しようとしても、コンセンサスルールがそれを拒否するため、そもそもネットワークに受理されません。最新ウォレットを使う理由は追跡耐性ではなく、単に有効な取引を作るためです。

誤解3:「効率改善はいずれプライバシーを犠牲にする」 — Bulletproofs+は、同じ保証を保ったままバイト数を削った好例です。むしろ効率が上がってノード運用が安くなることは、より多くの人が独立したノードを動かせることを意味し、それは分散性、ひいてはネットワーク全体のプライバシーの土台を強くします。効率とプライバシーはここでは対立しません。

結論

Bulletproofsは革命でした — 2018年に秘匿金額を実用的なものにした80%のサイズ削減です。Bulletproofs+は仕上げの磨きです — 2022年に内積論証を重み付きの変種へと差し替え、ゼロ知識をプルーフの中に折り込み、あなたのプライバシーについて何ひとつ変えることなく、すべての取引でバイトを節約した5〜7%の改良です。この違いを知っていれば、新しいプルーフを「より匿名性が高い」と呼ぶマーケティングの神話を見抜くことができます。それは単純に事実ではなく、そうである必要もないのです。技術の名前に惑わされず、何を保証し何を保証しないのかを正しく切り分けられること自体が、プライバシーコインを扱ううえでの実用的なリテラシーだと言えるでしょう。

両方のプルーフは同じ目標を共有しています — 金額が封印されたまま、誰もXMRを偽造しないことを保証することです。その静かな誠実さこそが、すべてのコインを互いに交換可能に保つものの一部なのです。実際に使ってみる準備はできましたか。アカウントも本人確認(KYC)も不要で、MoneroSwapperを通じて匿名でMoneroを購入できます。そして、あなたが受け取るすべてのアウトプットには、ネットワークの残りの全員が信頼するのと同じ軽量で実戦で鍛え抜かれたBulletproofs+プルーフが同梱されるのです。

🌍 他の言語で読む

English Español Português Русский Deutsch Italiano Français Indonesia Tiếng Việt 한국어 日本語 ไทย हिन्दी العربية 中文 Türkçe Melayu فارسی Filipino עברית

この記事をシェア

関連記事

XMRからBTCへ:2026年のインスタント対アトミックスワップ

May 30, 2026

Cake WalletからXMRをBTCに交換する手順ガイド

May 30, 2026

XMR→Bitcoin OTC大口スワップ完全ガイド2026

May 30, 2026

XMRをBTCに交換するプライバシーリスク:2026年に失うもの

May 30, 2026

XMRをBTCライトニングに交換する方法【2026年版】

May 30, 2026

Atomic WalletはMoneroのプライバシーを漏洩させるか?

May 30, 2026

匿名 モネロ取引所

KYCなし • 登録なし • 即時交換

今すぐ交換