Monero FCMP++アップグレード徹底解説：リング署名の終焉

Moneroのプライバシーは、ほぼ10年にわたって「リング署名」という巧妙な数学的仕組みに支えられてきました。コインを使用する際、実際の入力は チェーンから抽出された15個のデコイ（おとり）と混ぜ合わされ、外部の観察者はどれが本物かを判別できません。リングサイズ16という設計は驚くほど長持ちしましたが、同時にプロトコル内で最も研究され尽くした攻撃対象でもあります。2026年のハードフォークは、このモデル自体を根本から覆します。FCMP++（Full-Chain Membership Proofs Plus Plus、フルチェーン・メンバーシップ証明プラスプラス）は、16出力のリングを、「あなたの入力が、Moneroがこれまでに生成したすべての使用可能な出力の集合に属している」ことを証明する暗号学的プルーフに置き換えます。現在その総数は1億を優に超えています。つまり、匿名性セットは16から、ほぼチェーン全体の歴史にまで一気に拡大するのです。本ガイドでは、FCMP++が実際に何を行うのか、なぜ既存のCLSAG方式を引退させる必要があったのか、curve tree（曲線木）とHelios/Selene曲線サイクルがどのように数学的負荷を現実的なものに抑えているのか、そしてMoneroSwapperのようなサービスを通じてXMRへスワップする体験がアップグレード後にどう変わるのかを、順を追って解説します。

なぜCLSAGとリング署名が役目を終えなければならなかったのか

現在Moneroが使用している署名方式CLSAG（Concise Linkable Spontaneous Anonymous Group）は、2020年8月に有効化されました。従来のMLSAG構造に比べてトランザクションサイズを約25％削減した、エレガントで高速、実戦経験も豊富な仕組みです。しかしその核となる前提――「攻撃者は本物の支出と15個のデコイを区別できない」というもの――は、チェーン分析技術が進歩するにつれて徐々に弱体化していく性質を持っていました。

複数の公開されたヒューリスティクスが、16分の1の保証を少しずつ削り取ってきました。最もよく引用されるのは「Eve-Alice-Eve攻撃」で、監視主体が同一の標的を含む2つのトランザクションを制御または観察し、時系列パターン・出力年齢分布・既知の使用済み入力を組み合わせて実効的な匿名性セットを狭めるというものです。研究者たちは、現実的な敵対モデルの下では特定の取引において実効的なリングサイズが16を大幅に下回る可能性があることを示しています。CipherTrace、Chainalysis、そして米国国税庁（IRS）の業務委託先であるIntegra FECといったチェーン分析企業は、部分的な匿名性解除能力を公然と主張しており、日本国内でも警察庁や金融庁が同様のツール導入を検討していると報じられています。実用上の精度については議論の余地が残るものの、リスクの輪郭ははっきりしてきました。

• 限定的な匿名性セット：1億出力規模の台帳に対して16入力という比率は、暗号学的プライバシーではなく統計的プライバシーに過ぎません。
• デコイ選択の偏り：デコイ選定に使用されるガンマ分布は、本物の出力が極端に古い、あるいは極端に新しい場合に情報を漏洩させます。
• 黒大理石攻撃（Black Marble Attack）：新規生成出力の大部分を支配する敵対者は、将来のリングのうち16個中どれが自分のものかを把握できるため、リングを「汚染」できます。
• 閉集合の前提：ウォレットの支出パターンが予測可能な場合、暗号学的セットが縮小していなくても実効セットは縮小します。

FCMP++は、このデコイモデルそのものを撤廃します。リングは存在しません。偏らせるべき選択アルゴリズムも存在しません。代わりに、支出者は「使用される入力が、チェーン全体に対するメルクル木コミットメント内の出力のひとつである」ことをゼロ知識証明で示します。そしてその証明は、それがどの出力なのかについて何も明らかにしません。

フルチェーン・メンバーシップ証明の仕組み

FCMP++が解くべき暗号学的課題は過酷です。1億を超える要素の集合に対するメンバーシップを、1キロバイト未満で証明し、ノートパソコン上でミリ秒単位で検証できなければなりません。Monero Research Lab（MRL）はこの課題を、curve tree（曲線木）、Helios/Selene曲線サイクル、そしてBulletproofs+という3つのプリミティブを積層して1つの複合証明に統合することで解決しました。結果として得られる署名は、現行のCLSAGとほぼ同等のサイズで、匿名性セットは6桁大きいという驚異的なものになります。

Curve Tree：楕円曲線点のためのメルクル木

Curve treeは2022年にCampanelli、Hall-Andersen、Kampによって提案されたもので、内部ノードが通常のハッシュではなく楕円曲線コミットメントになっているメルクル木です。葉には出力公開鍵と金額コミットメントが格納され、各分岐はペアリングされた楕円曲線上のPedersenコミットメントで子ノードを統合します。コミットメントが準同型性を持つため、隠された葉が指定された経路上に存在することを、葉と経路の両方を明かさずに証明できるのが本質的な利点です。現在のチェーンサイズではMonero用の木は約25層の深さになり、再バランスはコンセンサスの一部として行われます。

HeliosとSeleneという曲線サイクル

Curve treeには、算術的に互いに「入れ子」になる2つの楕円曲線――一方の基礎体が他方のスカラー体になる――が必要です。MRLはこの目的のために2024年に新たに設計された曲線ペア「Helios」と「Selene」を採用しました。Mina ProtocolなどでもおなじみのPastaサイクルなどの代替案もありましたが、Helios/SeleneはRustおよびC++での一定時間演算の挙動が優れており、Monero既存のEd25519鍵とも自然に共存できる点で選ばれています。重要なのは、既存の出力を新しい曲線に移行する必要がないという点です。証明系が葉層でEd25519とHeliosを橋渡しします。

Bulletproofs+による範囲証明と合成

レンジプルーフ（出力金額が非負であることを金額を明かさずに証明する仕組み）は、2022年11月のフォーク以降使われ続けているBulletproofs+に依存し続けます。FCMP++はBP+を拡張し、「私はcurve tree内のある位置にある葉の開封値を知っており、その葉は私が所有する出力にコミットしており、かつ私はその出力をまだ使用していない」という合成命題を証明できるようにしました。リファレンス実装でLuke「Kayaba」Parkerが公開したベンチマークによれば、結果のプルーフは集約前で約3KBに収まり、現代的なCPUで50ミリ秒未満で検証されます。

ユーザーとウォレット運用者にとって何が変わるか

一般的なMoneroユーザーにとって、FCMP++が有効化される日は驚くほど平凡な一日に映るはずです。ウォレットは同期し、サブアドレスはこれまで通り使え、シードフレーズも有効なまま。UI上ではほぼ何も変わりませんが、その下では根本的な変化が起きています。実用面の違いを以下の表に並べました。

取引手数料はわずかに上昇します。早期の見積もりでは、現行の最低手数料の1.8倍から2.5倍程度になるとされていますが、これはプルーフのサイズ増加が主因です。ただしMonero特有の動的ブロックサイズ機構が衝撃のほとんどを吸収し、テールエミッションがマイナー収入を安定させます。MRLが公開した計算機では、典型的なウォレットユーザーが1取引あたり追加で支払う額は、日本円換算でおよそ3〜6円程度に収まるとされています。

「FCMP++はMonero史上最大のプライバシーアップグレードだ。我々は『16人の中で恐らく匿名』という状態から、『チェーンを使った全員の中で証明可能に匿名』という状態へと移行する。」――Justin Berman、MRL貢献者（MoneroKon 2025での発言）

ステップ・バイ・ステップ：FCMP++ハードフォークへの準備

ハードフォークは最終監査とコードレビュー完了を条件として、2026年後半に暫定的に予定されています。自己保管者であれ、ノード運用者であれ、スワップサービス経由でXMRに変える人であれ、すべてのMoneroユーザーが行うべき準備を以下にまとめます。

1. フォークの少なくとも1週間前にウォレットソフトウェアを更新する。monero-project公式GitHubのリリースページで、FCMP++を搭載するv0.19からv0.20への移行を待ちましょう。古いウォレットはフォーク高度以降、有効なトランザクションをブロードキャストできなくなります。
2. ノードを運用するならcurve treeの初回再同期を計画する。フォーク後の最初の同期は、ジェネシスからメンバーシップコミットメントを再構築します。コンシューマー向け機材で4〜8時間のCPU時間を見込んでください。プルーンドノードでも対応していますが、約30％長くかかります。
3. 未だファームウェア更新を出荷していないハードウェアウォレットから資金を移す。Trezorは初日対応を表明しています。Ledgerユーザーは過去の経緯から6〜12か月の遅延を覚悟する必要があります。日本国内で利用しているLedger Live経由の運用であっても例外ではないため、待てない方は最新CLIを動かすホットウォレットへスイープしておくのが安全です。
4. マイニングする場合はプールの準備状況を確認する。P2Poolおよび主要な集中型プール（SupportXMR、Nanopool、MineXMR後継など）はいずれも対応を表明しています。ソロマイナーはリリースタグ公開後に公式ソースからノードをビルドし直してください。
5. 取引所やスワップサービスを使うならフォーク対応を事前に確認する。MoneroSwapperのようにKYC不要・複数取引所の流動性を集約するスワップ基盤は、過去のフォークでも有効化から数時間以内に対応してきました。スワップ予定がある場合はフォーク当日にステータスページを確認しましょう。
6. 大きなアップグレードの前にはシードをバックアップする。PolyseedとレガシーのMonero 25語ニーモニックは、いずれもフォーク後も有効です。鍵の移行は不要ですが、アップグレードはバックアップが本当に復元できるかを確かめる絶好のタイミングです。耐火金庫やSLIP-39など分割バックアップを検討するのも良いでしょう。

実例：フォーク前と後でKYC不要スワップはどう違うのか

実際のワークフローで考えてみましょう。東京に住むハルキはフリーランスで0.04 BTCを受け取り、それを「Moneroしか受け付けないハードウェア販売者」での購入に充てるためXMRに変換したいとします。FCMP++以前、MoneroSwapperでの彼の流れはこうでした――Moneroのサブアドレスを貼り付け、ワンタイムのBTC入金アドレスを取得し、送金し、約30分以内にXMRが届く。彼の入力をチェーン全体に結びつけるトランザクションは、16人のリングで守られていました。強力ですが、両端を執拗に観察する敵対者に対して破られないわけではありません。

FCMP++有効化後、同じスワップは同じインターフェースで完了しますが、スワップサービスがハルキの代わりにブロードキャストするトランザクションは、「彼の出力がチェーン上の1億超の出力のいずれかでありうる」ことを示すプルーフを携えます。仮にチェーン分析企業がBTC入金とハルキを紐づけ、XMRの出口を監視していたとしても、ハルキの特定の出力がハードウェア販売者の最終的な支出に紐づけられることはありません。curve tree内のどの葉が実際に使われたのかについて、暗号学的なメンバーシップ証明は何も漏らさないからです。ユーザー体験は同一ですが、プライバシー保証は質的に別物になります。

地域的な文脈も無視できません。日本では2017年の改正資金決済法によって暗号資産交換業が登録制となり、JVCEA（日本暗号資産取引業協会）がトラベルルールの運用主体として2022年4月以降、10万円相当を超える送金についてSan SourceとReceiverの情報共有を求めるようになりました。一方で、非保管型ウォレット間（ウォレット同士の直接送金）はトラベルルールの対象外です。さらに、国税庁の取り扱いでは暗号資産取引による所得は「雑所得」として総合課税の対象となり、最大で住民税込み約55％の累進課税が適用される点にも注意が必要です。FCMP++は規制ステータスを何も変えません。それが変えるのは、フォーク後にチェーンデータから敵対者が何を「証明」できるかという点です。日本のように当局が交換業者経由のフィアット出入金を中心に監視している環境では、自己保管とKYC不要スワップの組み合わせが持つ意味は、フォーク後にさらに大きくなるでしょう。

日本のユーザーが特に注意すべき運用上のポイント

日本の暗号資産ユーザーがFCMP++フォークを乗り切るうえで意識すべき実務的論点は、海外のガイドが触れない部分にもあります。まず、国内取引所のほとんどはMoneroの上場・取り扱いを継続していません。bitFlyer、Coincheck、bitbankのいずれも金融庁の方針を受けて2018年以降XMRを取り扱っていないため、ハルキの例のようにフィアットからXMRへ直接ルートを引くことは事実上不可能です。多くの利用者は、まず国内取引所でBTCやLTCを購入し、それを自己保管ウォレットに送り、そこからMoneroSwapperのようなKYC不要のスワップサービス経由でXMRに変換するという2段階の流れを取っています。FCMP++フォークはこの中継スワップに対する保護を大きく強化するため、最終的な秘匿性は飛躍的に高まります。

次に、確定申告との関係です。国税庁の現行ガイダンスでは、暗号資産同士の交換も課税対象事象（雑所得の認識タイミング）として扱われます。つまりBTCをXMRにスワップした時点で、BTC側に含み益があれば実現益として計上する必要があります。FCMP++はこの会計上の扱いを変えません。スワップサービスの取引履歴や、自分のウォレットの出金・入金記録は、たとえチェーン上で第三者から見えなくなっても、自分自身の納税義務を満たすための一次資料として保管しておくべきです。Polyseedバックアップとは別に、CSVベースの取引履歴を暗号化ストレージに残しておくことを推奨します。

さらにネットワーク観点では、自宅回線がIPv6常時接続環境であっても、ノード運用やウォレット接続には可能な限りTor隠しサービスを使うと良いでしょう。Monero公式CLIウォレットおよびFeather Walletは、リモートノードのonion接続をネイティブにサポートしています。FCMP++はオンチェーンでの追跡耐性を大幅に高めますが、ネットワーク層――IPアドレスとトランザクション伝搬パターン――は別問題であり、こちらの対策はフォーク後も依然として利用者の責任範囲です。

ロードマップ：FCMP++、Seraphis、そしてCarrot

FCMP++はMoneroのプライバシーロードマップの終点ではなく、踏み台です。次の大きな提案であるSeraphisはトランザクションプロトコルをゼロから再設計するもので、新しいアドレッシング方式Jamtis（およびその軽量版Carrot、2024年にユーザーjeffro256が提案）と自然にペアになります。Seraphisはネイティブなマルチシグ対応、ビュータグベースの軽量スキャン、そしてビュー専用ウォレットにおけるより堅牢な前方秘匿性をもたらします。

順序は意図的に組まれています。FCMP++を「署名方式の限定的なアップグレード」として先に出荷することで、MRLは2つの大型変更を1つのフォークに押し込まずにSeraphisを仕上げる時間を確保します。歴史的な類似例は2020年のMLSAG→CLSAG移行であり、Bulletproofs+導入の18か月前に行われました。Seraphisの有効化は早くても2027年、しかもFCMP++のコードベースが本番環境で少なくとも1リリースサイクルを経た後と見るのが現実的です。

並行して耐量子セキュリティの問題があります。CLSAGもFCMP++も、現状の形では耐量子ではありません。両者とも楕円曲線上の離散対数仮定に依存しているからです。十分に大きな誤り耐性量子コンピュータを持つ敵対者は、原理的に両方の方式を遡って破ることが可能です。MRLは格子ベース置き換えの研究に着手していますが、本番投入可能な耐量子Moneroはおそらく2030年代の課題です。FCMP++は今日の敵対者に対する余裕を確保するものであり、耐量子はロードマップ上の別項目だと理解しておくべきです。

監査・リスク・コミュニティガバナンスの観点

大規模な暗号プロトコル変更には常にリスクが伴います。FCMP++も例外ではありません。MRLはこの規模のアップグレードに対して、過去に類を見ないレベルの公開査読体制を組んでいます。具体的には、curve treeの基礎論文に対する独立した暗号学者による検証、Helios/Selene曲線パラメータの選定プロセスを記録した公開ドキュメント、テストネットでの長期負荷試験、そして最終段階での2社による有償監査です。それでもなお、暗号実装における過去の重大事故――2017年のParityウォレットマルチシグ事故、2019年のZcashのCounterfeiting Vulnerability――は、形式的に正しい設計が実装段階で破綻しうることを示しています。日本のユーザーがリスクを管理する現実的な方法は、フォーク直後の数日間に大口取引を集中させないこと、そしてフォーク当日にウォレットを「最新かつ唯一の公式ビルド」に固定することです。

ガバナンス面では、Moneroは伝統的にBIPやEIPのような形式的提案プロセスを持ちません。代わりに、MRL会議の議事録、IRC（現Matrix）の#monero-devチャンネル、そしてGitHub上のpull requestを通じた合議が事実上の決定機構です。FCMP++の場合、2024年から2026年にかけて毎週開催されているMRL Meetingの議事録が公開されており、日本語コミュニティの一部メンバーも参加し翻訳要約を有志ベースで公開しています。フォークの正当性に疑問がある場合、これらの一次資料を直接確認することが最も信頼できる手段です。

FAQ

FCMP++はMoneroのトランザクション速度を遅くしますか？

ブロック生成間隔そのものは変わりません。Moneroは引き続き約2分のブロック時間で動作し、10ブロックでの実用的なファイナリティ達成という運用感覚もそのままです。変わるのは個別のトランザクション検証コストで、ノードあたり1取引につき40〜50ミリ秒程度に増えます。これはネットワーク全体のスループットには影響しますが、エンドユーザーの待ち時間――送金してからウォレットに着金が見えるまで――の体感は、多くの場合フォーク前後で区別がつかないレベルに収まります。混雑時の手数料市場は若干変動する可能性があるため、急ぐ送金には現行と同様に少し高めの手数料を選ぶ運用が無難です。

古いウォレットに残したXMRはフォーク後も取り出せますか？

はい、ただし条件があります。シードフレーズさえ保管されていれば、最新の公式ウォレットに復元することで、フォーク前に保有していた残高を新方式でも問題なく支出できます。鍵そのものや出力の所有権はフォークによって変更されません。古いソフトウェアのまま動かし続けようとすると、新ルールに準拠したトランザクションを生成できないため、結果として「読めるが送れない」状態になります。シードの復元が確実にできるかをフォーク前に検証しておくのが最善の備えです。

FCMP++はメインネットでいつ正確に有効化されますか？

2026年中盤時点で、目標とされる有効化高度は10月から11月の窓に暫定的に設定されています。条件は、2件の独立コード監査（1件はMonero Community Crowdfunding System資金提供、もう1件は未公表の外部企業）の完了と、最低90日のテストネット稼働の成功です。MRLはスケジュールよりも正しさを一貫して優先してきたため、2027年初頭にずれ込む可能性も十分にあります。monero-projectリポジトリのv0.20リリースタグが、正式な合図になります。

フォーク前に既存のXMRに対して何か作業は必要ですか？

不要です。既存の出力、サブアドレス、シードはそのまま有効です。curve treeはフォーク高度時点で使用可能なすべての出力から構築されるため、フォーク前から保有しているコインは自動的に新しい匿名性セットに含まれます。マイグレーション・トランザクションも、トークンスワップも、フォークを跨ぐだけで資金を失うリスクもありません。唯一の注意点は、フォーク後に支出できるようウォレットソフトを最新に保つことです。

ハードウェアウォレットは引き続き使えますか？

Trezorは初日対応を約束しており、FCMP++テストネットで動作確認済みのファームウェアを開発中です。Ledgerは過去のフォークで対応まで6〜12か月かかってきました。Ledgerに依存している方は、支出能力が一時的に制限される期間を受け入れるか、最新プロトコルへの一次対応が常に最も早い公式CLIウォレットへ一時的に資金をスイープするか、いずれかを選択してください。

FCMP++はMoneroを耐量子にしますか？

いいえ。FCMP++は古典的なチェーン分析に対する匿名性セットを改善しますが、Monero既存の楕円曲線離散対数問題への依存はそのままです。十分な規模の将来の量子コンピュータは、理論的には基盤の署名を破ることが可能です。耐量子Moneroは別個の長期研究プロジェクトです。MRLは格子ベースとアイソジェニベースの候補を議論していますが、いずれも本番投入には程遠い段階です。

取引手数料への影響はどの程度ですか？

早期見積もりでは、プルーフがCLSAG署名より大きいため基準手数料は約1.8〜2.5倍に上昇するとされています。絶対値で見ると、現在およそ1〜2円相当の2入2出トランザクションが、フォーク後は3〜6円程度になる計算です。動的ブロックサイズとテールエミッションが影響を緩和し、有用データ1キロバイトあたりの集約手数料という意味では、依然として主要プライバシーコインの中で最安水準を維持します。

フォーク中またはフォーク直後にXMRへ匿名でスワップできますか？

はい、ただしスワップサービスがアップグレードに対応していることが前提です。MoneroSwapperを含むKYC不要アグリゲータは通常、フォーク高度の前後数時間にわたって新規Monero入金を一時停止し、ノード運用者の更新を待ってから通常運用に戻します。停止前に入金アドレスへ送られた資金は、ノードが追いついてから処理されます。資金を失うリスクはありませんが、確認が遅延する短い窓は存在します。大口のスワップはフォーク窓から十分前か十分後に計画するのが最もスムーズです。

結論

FCMP++は、Moneroが「本番運用されているプライバシーコインの中で最も活発に研究されている」という評判を裏付けるアップグレードです。10年来の前提――16個のデコイで十分という前提――を、チェーン全体に結びついた暗号学的保証に置き換えます。数学は難しく、監査は進行中であり、ロールアウトは即時でも無痛でもないでしょう。しかし到達点は、匿名性セットがもはや調整され弱体化されうるパラメータではなくなったMoneroです。コンプライアンス目的のビジネス、個人の金融プライバシー、あるいは監視がデフォルトの管轄区域での運用――どの理由であれプライベートな貨幣に頼る人にとって、その到達点は待つ価値のあるものです。フォークが実装されたとき、MoneroSwapperを通じたXMRへのスワップは今日とまったく同じように機能します――ただし、その下に流れるプライバシー保証は質的に強固なものになっているはずです。このページをブックマークし、v0.20リリースを注視し、フォーク高度の前にウォレットを更新しておきましょう。技術的な準備とは別に、自分のスレットモデル――誰から、何を、どの程度の精度で守りたいのか――を一度棚卸しすることもおすすめします。FCMP++によって匿名性セットの数学が変わっても、運用面で穴を残せば結果は変わらないからです。安全な未来へ、まずは小さく確実な一歩を踏み出しましょう。