Monero FCMP++徹底解説：2026年のプライバシー大型アップグレード

現在のMoneroの取引は、あなたが実際に使う「本物の入力」1つに、ブロックチェーンの履歴から引っ張ってきた15個のおとり（デコイ）を加えた、ちょうど16個の候補の中に支出を紛れ込ませています。この「リングサイズ16」は2022年8月のネットワークアップグレード以降ずっとプライバシーの下限として機能してきましたが、チェーン分析企業はその統計的なほころびを何年もかけて探り続けてきました。FCMP++は、この天井そのものを取り払います。16個のリングではなく、「Moneroでこれまでに作られた有効な出力すべて」——2026年時点で優に1億個を超える集合——にあなたの出力が属していることを証明するのです。匿名集合は16から、ブロックチェーン全体へと一気に跳ね上がります。

これはMoneroの歴史上、単一のアップグレードとしては最大のプライバシー改善であり、このコインを使うすべての人にとって計算式が書き換わります。それは、MoneroSwapperのようなノンカストディアル・ノンKYCのサービスを通じてプライベートにMoneroを入手する人たちも例外ではありません。本ガイドでは、FCMP++とは何か、curve trees（カーブツリー）がどうやってフルチェーン証明を現実的なものにしているのか、あなたのウォレットで何が変わるのか、そして2026年のロールアウトが実際にどこまで進んでいるのかを解説します。

なぜ今、FCMP++が重要なのか

Moneroのデコイ方式は、もともと巧妙な妥協の産物でした。リング署名は、グループのどのメンバーであるかを明かさずにグループを代表して署名できる仕組みですが、デコイは適切に選ばれなければならず、固定サイズ16のリングは分析者が手がかりとして引っ張れる「測定可能な継ぎ目」を残してしまいます。FCMP++は、デコイそのものを完全になくすことで、この継ぎ目を塞ぎます。

• デコイの天井は実在する：単純な攻撃者でも、入力1つあたり16分の1の確率で本物の支出を当てられます。さらに「新しい出力ほど使われやすい」というバイアス、タイミングの相関、複数入力のクラスタリングといったヒューリスティックを使えば、実効的な候補数は多くの場合16をかなり下回ります。
• 監視の圧力は増す一方：日本では2018年、金融庁（FSA）が国内取引所に対してMonero、Dash、Zcashといったプライバシーコインの取り扱い停止を事実上求め、Coincheckなどが上場廃止に踏み切りました。海外でも米国IRSの犯罪捜査部門が2020年にMonero追跡ツールへ62万5,000ドルの懸賞金をかけ、ChainalysisやCipherTraceといった企業が確率的な匿名性剥奪を売り込んできました。これらの圧力の多くは、まさにFCMP++が排除するデコイ選択の弱点を突くものです。
• ロードマップが「早く成果を出す」方向に変わった：SeraphisとJamtisによる大規模な刷新を待つのではなく、Moneroコミュニティはより範囲を絞った変更であるFCMP++を優先し、フルチェーンのメンバーシップを先に届けることを選びました。開発者が前倒しで進めることを決めた、目玉のアップグレードなのです。

FCMP++とは実際に何なのか

FCMP++はFull-Chain Membership Proofs（フルチェーン・メンバーシップ証明）の略で、末尾の「++」は、元になった学術的な設計の上に積み重ねられた一連の改良を表しています。その核心はゼロ知識証明であり、こう主張します——「私が使おうとしている出力は、この巨大な有効出力の集合のどこかに存在し、私はその支出鍵を持っている」。それでいて、どの出力なのかは一切明かしません。

リング署名からフルチェーン・メンバーシップへ

現在のMoneroは、RingCTの内部でCLSAGリング署名を使っています。各入力は16個のリングメンバーを参照し、そのうち1つが本物であること、そしてどの入力も二重支払いされていないことを、一意性を担保するキーイメージを使って証明します。金額はPedersenコミットメントとBulletproofs+のレンジ証明の背後に隠されたままです。

FCMP++は、この金額を隠す仕組みは維持しつつ、リングを置き換えます。もはやデコイは存在せず、デコイ選択アルゴリズムもなく、議論の的になる「リングサイズ」というパラメータもありません。メンバーシップの集合はチェーン全体です。つまり、何年も離れた時期に、見ず知らずの他人どうしが行った2つの取引が、同じ匿名集合から引かれることになります。これは代替可能性（fungibility）にとって大きな前進です。なぜなら、どのコインも「他より混ざっている／混ざっていない」とフラグを立てられなくなるからです。

Curve Trees：1億個の出力を対象にした証明が、なぜ小さいままなのか

当然の疑問は「サイズ」です。証明が巨大化せずに、どうやって1億個の出力を参照できるのでしょうか。その答えがcurve trees（カーブツリー）と呼ばれる構造で、2022年の学術研究で提案され、Luke "kayabaNerve" ParkerによってMonero向けに適応されました。

カーブツリーはMerkleツリーに似たアキュムレータですが、各層が異なる楕円曲線の上にコミットされる点が特徴です。通常のMerkleツリーはハッシュ関数で各層を束ねますが、ハッシュの中身についてゼロ知識で効率的に証明するのは簡単ではありません。カーブツリーは代わりに楕円曲線上のコミットメントで各層をつなぐため、「自分の出力が根まで正しくつながっている」ことを、葉の正体を一切明かさずに証明できます。Moneroの実装は、既存のEd25519曲線の上に乗るように設計されたSeleneとHeliosという2曲線のサイクルを使います。一方の曲線のスカラー体が、もう一方の曲線の基礎体に一致するように選ばれており、この「サイクル」の性質によって、層から層へと証明を安価に積み上げられるのです。2つの曲線がサイクルを成すため、葉（あなたの出力）から木の根（ルート）までの経路を、トラステッドセットアップの儀式なしに、ゼロ知識で効率的に証明できます。証明のサイズは出力の「数」ではなく、木の「深さ」に応じて——対数的に——増えます。チェーンの出力数が倍になっても、証明に加わるサイズはほぼゼロです。

「++」の正体：Generalized Bulletproofsと除数（divisors）

元のFull-Chain Membership Proofの論文はメンバーシップを証明しましたが、それ単体では完全な取引プロトコルではありませんでした。「++」こそが、それを実用品として出荷可能にする部分です。支出の認可とリンク可能性のレイヤーを追加し——キーイメージは引き続き二重支払いを防ぎます——検証を扱いやすく保つために2つの効率化の工夫を使います。

• Generalized Bulletproofs（GBP）：Bulletproofs+系の拡張で、スカラーだけでなく楕円曲線上の点そのものを回路の中でコミットし、推論できるようにします。
• 除数テクニック：Liam Eagenの研究に由来する手法で、楕円曲線上の点の加算を証明の中で安価に証明できます。これはカーブツリーを辿るうえで最もコストのかかる部分です。

FCMP++はフォワードセクレシー（前方秘匿性）も向上させます。鍵の構造のおかげで、ビューキーが漏れても、いくつかの代替設計の下で起こりうるよりもはるかに少ない情報しかあなたの支出について明かされません。

FCMP++はトラステッドセットアップを追加しません。他のコインの初期のシールド型設計とは異なり、漏洩すれば供給量を毀損しかねない秘密の「毒性廃棄物（toxic waste）」の儀式は存在しません。カーブツリー方式は、その構造上、透明です。

FCMP++ 対 現行のRingCT

下の表は、あなたが今日使っているプロトコルと、FCMP++がもたらすものを比較したものです。見出しとなる数字——匿名集合——が最も重要ですが、他の行はトレードオフを説明しています。

変わらない2つの行に注目してください——金額の秘匿と二重支払い対策です。FCMP++は外科手術的です。RingCTのうち、すでにうまく機能している部分は残したまま、リングだけを取り替えます。この絞り込みこそ、より広範なSeraphisの再設計に先んじて出荷できる理由なのです。

ユーザーであるあなたにとって何が変わるのか

日々のユーザーにとって、このアップグレードはほとんど目に見えません。とはいえ、フォークが来る前に知っておく価値のある実務上のポイントがいくつかあります。

1. ウォレットソフトを更新する。FCMP++はネットワークアップグレード（ハードフォーク）として到来します。フォーク高に達する前に、新しい取引フォーマットに対応したウォレットとノードのバージョンを動かしておく必要があります。さもないと、フォーク後に取引ができなくなります。
2. コインを移動させる必要はない。フォーク前に受け取った出力はカーブツリーに挿入され、次にあなたが支出するときにフルチェーン・メンバーシップで使えるようになります。手動の「移行」取引も、資金を移し替える期限もありません。
3. 一度きりの再同期、またはツリー構築を見込んでおく。フルノードはカーブツリーを維持するため、アップグレード後の初回同期は、ツリーが構築される間、いつもより時間がかかる可能性があります。
4. 取引は引き続きセルフカストディ・トラストレス。あなたの支出鍵とビューキーはこれまでと同じように機能し、着金のスキャンも原理的には変わりません。

自前のノードを運用している場合は、より重い初回同期と、わずかに高くなる検証負荷を見込んでおいてください。プライバシー上の見返り——すべての支出がチェーン全体に紛れること——は、その追加の処理サイクルに見合うものです。

実践例：プライベートなXMRを入手して使う

Bitcoinで報酬を受け取り、プライベートな現金バッファを持ちたいと考える日本のフリーランサーを想像してみてください。今日であれば、彼女はアカウントなしでMoneroSwapperを通じてBTCをMoneroにスワップし、自分のウォレットにXMRを受け取ります。その後の支出はいずれも16個のリングメンバーの中に紛れます。スワップへ流れ込むBitcoinの足跡をつかんだ執念深い分析者は、原理的にはデコイ選択のヒューリスティックを適用して、彼女のその後のMoneroの動きを絞り込めるかもしれません。

FCMP++の後では、同じ受け取った出力は、ツリーに着いた瞬間にフルチェーンの集合へ加わります。彼女が数週間後にそれを支出するとき、証明はただ「これはMonero上にある1億以上の出力のうちの1つだ」とだけ語ります。攻撃すべき16個のリングはなく、新しい出力へのバイアスもなく、小さな候補リストに紐づくタイミングの手がかりもありません。Chainalysisのような企業に追跡契約をもたらしてきたヒューリスティックは、噛みつく対象を文字どおり失うのです。

これが、代替可能性の議論を具体的な形にしたものです。彼女のコインは、どこでスワップされ、採掘され、稼がれたかにかかわらず、他のあらゆるコインと見分けがつかなくなります。この性質こそが、Moneroを「誰が誰に支払ったかを永久に検索できる台帳」ではなく、「お金」として使えるものにしているのです。現金が誰の手を経てきたかを問わないのと同じように、すべてのXMRが等価に扱われる——それがFCMP++の目指す世界です。

日本のユーザーにとっての文脈

FCMP++はプロトコルレベルの変更であり、世界中のどのMoneroユーザーにも等しく恩恵をもたらします。とはいえ、その意味合いは、自分が置かれた規制環境によって変わってきます。日本のユーザーには、特有の事情があります。

前述のとおり、金融庁は2018年以降、暗号資産交換業者に対してプライバシー保護機能の強いコインの取り扱いに消極的な姿勢を示してきました。その結果、国内で登録された取引所でMoneroを直接、円で売買することは事実上できません。これは日本のユーザーにとって、入手経路そのものが論点になることを意味します。海外取引所、P2P、あるいはMoneroSwapperのようなスワップサービスを経由するのが現実的な選択肢です。

ここでFCMP++と入手経路の関係が効いてきます。プロトコルがオンチェーンの動きをいくら強固に守っても、入り口で本人確認とコインの送付先が完全に記録されていれば、その記録はオフチェーンに残り続けます。だからこそ、オンチェーンのプライバシーが「16人」から「チェーン全体」へと飛躍する2026年以降は、入り口のプライバシーを揃えることの相対的な価値がいっそう高まるわけです。鎖は最も弱い環で切れる、という原則は変わりません。

プライバシーと税務は別の話：国税庁の扱い

ここで誤解されやすい点を明確にしておきます。FCMP++が提供するのは「監視に対する技術的なプライバシー」であって、「納税義務の免除」ではありません。この2つはまったく別の話です。

日本では、暗号資産の取引によって生じた利益は、原則として「雑所得」として扱われ、総合課税の対象になります。国税庁が公表しているタックスアンサーや「暗号資産に関する税務上の取扱いについて（FAQ）」では、暗号資産を売却・使用・他の暗号資産と交換した時点で損益を認識する旨が示されています。BitcoinをMoneroにスワップした時点や、Moneroで何かを購入した時点でも、含み益があれば課税対象となり得ます。

FCMP++はチェーン上の取引相手や金額を第三者から隠しますが、あなた自身が損益を計算し、申告する責任を消し去るものではありません。むしろプライバシーが強い資産だからこそ、取得価額・取得日・スワップ時のレートといった記録は自分で残しておくべきです。技術的なプライバシーと、税務上のコンプライアンスは、両立させるべき別々の課題だと考えてください。

FCMP++が解決しないこと

フルチェーン・メンバーシップは巨大な飛躍ですが、それはより大きなプライバシー・スタックの一層にすぎず、誠実な期待値の設定が大切です。FCMP++は取引のオンチェーン側を強化します——ネットワーク層や、オフチェーンで犯したミスに対しては何もしません。

• ネットワーク層のメタデータ：P2Pの取引伝播は、FCMP++ではなく依然としてDandelion++によって保護されています。Torやi2pを使わず固定IPからブロードキャストすれば、メンバーシップ証明がどれほど強力でも、観測者はあなたのノードと取引を相関させられます。
• オンランプの足跡：あなたの身元と、送られた正確なコインを記録する完全KYCのアカウントでMoneroを買えば、その記録はオフチェーンに永遠に残ります。FCMP++は、XMRが到着した後の動きを守るのであって、あなたがどう入手したかの紙の足跡は守りません——だからこそノンKYCのスワップが重要なのです。
• ユーザーのミスとアドレスの使い回し：単一の固定アドレスを公の場に投稿したり、すべてを記録する取引所にウォレットを紐づけたりすれば、文脈が漏れる余地は残ります。ステルスアドレスはオンチェーンでのアドレス使い回しをすでに防いでいますが、運用上の規律は依然としてあなた次第です。

要点は、FCMP++がMoneroの最も強い部分を劇的にさらに強くする一方で、最も弱い環は依然として人間とネットワークの振る舞いに残るということです。このアップグレードをTor/i2pのルーティングとプライベートな入手方法と組み合わせてこそ、その恩恵をフルに受けられます。

他のプライバシー設計との位置づけ

FCMP++を理解するうえで、他の暗号資産のプライバシー手法と並べてみると、その特徴がはっきりします。プライバシーを語るとき、よく引き合いに出されるのがzk-SNARKsを使ったシールドプール型の設計です。

シールドプール型の最大の違いは2つあります。第一に、多くの場合プライバシーが「オプトイン」である点です。透明な取引とシールドされた取引が混在し、ユーザーが明示的にシールドプールへ入れない限り保護されません。実際の利用ではシールド側の利用者が少なく、結果として匿名集合が痩せてしまうという問題が繰り返し指摘されてきました。Moneroはプライバシーがプロトコル全体で必須（mandatory）であり、すべての取引が同じ匿名集合に貢献します。FCMP++は、その匿名集合をチェーン全体にまで広げる変更です。

第二に、初期のzk-SNARKs設計の一部は、パラメータ生成のためにトラステッドセットアップの儀式を必要としました。この儀式で生成される秘密（いわゆる「toxic waste」）が漏洩すれば、検出されないまま無からコインを作り出せてしまうリスクがあります。FCMP++が依拠するカーブツリーとGeneralized Bulletproofsは、こうした儀式を一切必要としません。供給量の健全性を、信頼ではなく数学だけに依拠して保てるのです。

つまりFCMP++は、「全員が常に最大の匿名集合に参加し、かつトラステッドセットアップに頼らない」という、Moneroが長年掲げてきた設計思想を、技術的にもう一段押し進めるものだと言えます。

フォーク前のチェックリスト

難しいことは何もありませんが、フォーク高が近づいたら次の点を確認しておくと安心です。

• 公式情報を一次ソースで追う：getmonero.org のリリース告知と、公式のGitHubリポジトリを確認します。フォークの日付やバージョン番号に関する確かな情報は、ここから出ます。
• ウォレットとノードを推奨バージョンへ：公式ウォレット（GUI/CLI）を使っているなら、フォーク対応版へ更新します。サードパーティ製ウォレットを使っている場合は、その開発元がFCMP++に対応済みかを確認してください。
• 初回同期の時間を見込む：フルノードを動かすなら、ツリー構築のぶん初回同期が長引く可能性があります。フォーク直後に急いで送金する予定があるなら、余裕をもって同期を済ませておきましょう。
• シードのバックアップを再確認：アップグレード自体でシードが変わることはありませんが、大きな節目はバックアップを点検する良い機会です。25単語のニーモニックがオフラインで安全に保管されているかを確かめておいてください。

よくある質問（FAQ）

FCMP++はSeraphisやJamtisと同じものですか？

いいえ。Seraphisは提案中の次世代取引プロトコルで、Jamtisはその対となるアドレッシング方式です。FCMP++は、リング署名をフルチェーン・メンバーシップ証明に置き換える、より焦点を絞った別の変更です。コミュニティがFCMP++を優先したのは、より範囲を絞ったアップグレードとして最大のプライバシー上の成果をもたらすからであり、SeraphisとJamtisはより長期のロードマップに残されています。

フォーク後も、今持っているMoneroはプライベートなままですか？

はい、しかもより強くなります。フォーク前の出力はカーブツリーに追加され、次に支出するときにフルチェーン・メンバーシップを獲得します。事前にコインをどこかへ送る必要はなく、古い資金が使えなくなる時点も存在しません。

FCMP++は取引を大きく、あるいは遅くしますか？

各入力のメンバーシップ証明はCLSAGリングよりも大きくなりますが、決定的に重要なのは、それが匿名集合のサイズとともに大きくならない点です——それこそがカーブツリーの本質です。検証は現在の署名よりコストがかかりますが、大規模な最適化作業によって通常のノードでも実用的に保たれています。ほとんどのユーザーはウォレットの速度の違いに気づかないでしょう。

FCMP++は実際にいつ稼働しますか？

開発と複数のセキュリティ監査は、2024年と2025年を通じてMoneroのCommunity Crowdfunding System（コミュニティ・クラウドファンディング・システム）を通じて資金提供され、その間にstagenetとtestnetでテストが行われました。FCMP++を載せたネットワークアップグレードは2026年が見込まれていますが、Moneroのハードフォークの日付は固定のカレンダーではなく、準備状況と監査結果によって決まります。公式のリリース告知に注目し、フォーク高の前に推奨バージョンを動かしておいてください。

これにトラステッドセットアップや特別な儀式は必要ですか？

いいえ。FCMP++はカーブツリーとGeneralized Bulletproofsを使い、そのどちらもトラステッドセットアップを必要としません。秘密生成の儀式は存在せず、したがってコインの供給量に対する「毒性廃棄物」のリスクもありません——その構築は設計上、透明です。

海外取引所やP2Pで入手したMoneroも、フォーク後にフルチェーン集合に入りますか？

はい。どこで入手したかは、オンチェーンのメンバーシップには関係ありません。Moneroのブロックチェーン上に存在する有効な出力であれば、どれもカーブツリーに挿入され、同じフルチェーンの匿名集合に貢献します。これこそが代替可能性の核心であり、「採掘されたコイン」「取引所から引き出したコイン」「P2Pで受け取ったコイン」が一切区別されなくなるということです。

「リングサイズ」という考え方は完全になくなるのですか？

FCMP++が稼働すれば、リングサイズというパラメータそのものが意味を失います。リングが存在しないので、「16にすべきか、もっと大きくすべきか」といった、コミュニティで何度も交わされてきた議論は不要になります。匿名集合はチェーン全体で固定であり、調整するつまみがないのです。

古いウォレットのまま放置したらどうなりますか？

フォーク高に達した後、対応していない古いソフトウェアでは新しい取引を作成・検証できなくなります。資金が消えるわけではありません——シードさえあれば、対応版のウォレットへ復元すればこれまでどおりアクセスできます。ただし、フォーク後に送金や受領を行う前には、必ず対応バージョンへ更新しておく必要があります。

FCMP++だけで完全に匿名になれますか？

いいえ、そう考えるのは危険です。FCMP++が強化するのはオンチェーンのプライバシー、つまりブロックチェーンに記録される取引相手と金額の秘匿です。一方で、あなたがどのIPアドレスから取引をブロードキャストしたか（ネットワーク層）や、コインをどこで入手したか（オンランプの記録）は、別の対策が必要な領域です。FCMP++をTorやi2pによるネットワーク秘匿、そしてノンKYCの入手方法と組み合わせて初めて、プライバシー・スタック全体がかみ合います。技術は強力な土台ですが、運用上の規律と組み合わせてこそ本当の効果を発揮します。

まとめ

FCMP++は、Moneroが支出を16人の群衆の中に隠すのをやめ、チェーン全体の中に隠し始める瞬間です。リング署名をフルチェーン・メンバーシップ証明へ——SeleneとHeliosのカーブサイクル、Generalized Bulletproofs、除数テクニックに支えられて——置き換えることで、チェーン分析企業が何年も頼ってきたデコイ選択の弱点を、トラステッドセットアップなしに取り除きます。2026年に向けた実務的なアドバイスはシンプルです。ウォレットを最新に保ち、初回同期が重くなることを見込み、あとは強化されたプロトコルに任せましょう。

このアップグレードが出荷された瞬間からその恩恵を受けるコインが欲しいなら、最もきれいな道は、そもそもプライベートに入手することです。MoneroSwapperを通じて、アカウントなし・KYCなしでMoneroを匿名で購入し、自分のウォレットへ直接送れば、次の支出でFCMP++がそれをフルチェーンの匿名集合へ織り込んでくれます。