Moneroリング署名を完全解説：XMRはどのように送信者を隠すのか

Bitcoinの取引に署名すると、ネットワークにはあなたのアドレス、残高履歴、そして使用したUTXOが明確に記録されます。一方、2026年のMoneroで取引に署名した場合、ネットワークが目にするのは16名の「署名候補者」からなるリングのみであり、その中の誰が本当の送信者なのかを数学的に証明する手段は存在しません。この設計思想は、2014年のCryptoNoteホワイトペーパーから現在のCLSAGリング署名へと至る10年以上の暗号研究の結晶であり、Moneroが主要なLayer-1暗号資産の中で唯一「プロトコルレベルでプライバシーが必須」である理由でもあります。

本稿では、リング署名が実際にどう動作するのか、2022年8月のハードフォークが何を意味したのか、そして次期FCMP++が起動したときに何が変わるのか、さらにMoneroSwapperでの各スワップがこれらの保証を自動的に継承する仕組みを丁寧に解説します。暗号学の学位は必要ありませんが、曖昧な比喩ではなく具体的な数学的構造に踏み込みます。

なぜリング署名がMoneroプライバシーの中核にあるのか

すべてのパブリックブロックチェーンは、同じ会計上の課題を解決しています。「コインが存在することを証明し、送信者の所有権を証明し、二重支払いを防止する」という3点です。Bitcoinはこれを、透明な入力と誰でも監査可能なUTXOセットで解決しました。Moneroはこれを、リング署名・ステルスアドレス・RingCTという3層の技術で解決しており、その中で「送信者を覆い隠す層」がリング署名にあたります。

送信者の難読化がなければ、金額が完全に暗号化されていてもメタデータが漏洩します。ChainalysisやCipherTraceなどのチェーン監視企業の事業価値は、まさにBitcoinの送信者フィールドが平文であるという事実の上に成り立っています。Moneroのリング署名はこの表面をまるごと破壊します。各取引入力は1つの鍵ではなく集合によって署名され、検証者は「集合の中の誰かが」支出を承認したことだけを確認できます。

• 送信者の曖昧化：実際の支出者は、チェーン上の過去出力から選ばれた15のデコイと計算上区別不可能になります。
• トラステッドセットアップ不要：儀式的なパラメータ生成に依存するzk-SNARK方式と異なり、リング署名はCurve25519上の標準的な楕円曲線仮定のみに依拠します。
• オプションではなく必須：2014年のローンチ以来、すべてのMonero取引はリング署名を伴います。監視業者が分析の足がかりにできる「透明モード」は存在しません。
• 構造的代替可能性：出力を送信者まで確実に追跡できないため、いかなるコインも「汚染」されたり、過去履歴を理由に取引所に拒否されたりすることがありません。

この最後の点こそ、EUや韓国の規制当局が2024年の上場廃止波以降苦しんできた論点です。「誰が誰に何を送ったか」を開示することを拒否するプロトコルに対して、トラベルルールのヒューリスティクスを適用することは不可能です。日本国内でも、2018年のコインチェック事件以降、金融庁の指導により大手取引所からXMRが姿を消しましたが、海外ではVergeやBeamのような透明型プライバシーコインが衰退した中、Moneroだけが生き残った技術的理由がこのリング署名にあります。

Moneroのリング署名の実際の仕組み

動作のメンタルモデルだけ知れば十分という方はこの章を飛ばしても構いません。しかし、なぜ数学的に成立するのかを理解したいのであれば、その構造は多くの解説が示唆するよりもはるかに洗練されています。現行のCLSAG方式は、2022年8月13日のハードフォークにおいて旧来のMLSAGアルゴリズムを置き換え、同等のセキュリティ保証を維持したまま署名サイズを約25%削減しました。

中核アイデア：グループを代表しての署名

従来のデジタル署名は「秘密鍵xの保有者である私が、この取引を承認した」という事実を証明します。リング署名は「秘密鍵x₁, x₂, …, x₁₆のいずれかの保有者が、この取引を承認したが、どれかは特定できない」という事実を証明します。検証者は単一の方程式をチェックし、その式は集合内に少なくとも1つの秘密鍵を知る者が存在するときのみ閉じますが、どの鍵が使われたかについては何の情報も漏洩しません。

Moneroの実装では、「リング」は取引作成時に送信者のウォレットによって構築されます。ウォレットは実際の支出出力に加えて、過去ブロックから15のデコイ出力を選び、XMRの現実的な支出年齢分布を反映するガンマ分布で重み付けし（最近の出力ほど支出されやすい）、それらを署名にまとめ上げます。

キーイメージ：送信者を明かさずに二重支払いを防ぐ

当然の疑問が浮かびます。「ネットワークが実際に支出された出力を識別できないなら、何が同じコインを2つの異なるリングで使うのを止めるのか？」 その答えがキーイメージです。これは実際の秘密鍵から決定論的に導出されるハッシュであり、その特定の出力に固有の値となります。すべての取引はリング署名と並行してキーイメージを公開します。ノードは既知のキーイメージ集合を保持しており、重複はそのまま拒否されます。

重要な点として、キーイメージは一方向関数です。その値を知っていても、元の秘密鍵やリング内のどの出力が支出されたかについては何もわかりません。ネットワークはただ「同じものが再度現れた」という事実だけを認識できます。これこそが、Moneroが同じ封筒の中にアンリンカビリティと健全な貨幣会計の両立を実現できる暗号プリミティブです。

デコイ選択：かつてプライバシー漏洩が潜んでいた場所

初期のMonero（2014〜2017年）はユーザーが手動でリングサイズを選択できましたが、これは明白な問題を生みました。リングサイズ1（自分のみ）を使うユーザーは即座に追跡可能であり、小さなリングは統計的攻撃に晒されます。2022年10月のハードフォーク以降、プロトコルは全取引に対しリングサイズ16を強制しています。一様性そのものがプライバシー特性です。すべての取引が同じ形状であれば、匿名化集合はチェーン全体に拡張されます。

デコイ選択は、実際のXMR支出パターンに合わせて校正されたガンマ分布に従います。純粋なランダム選択では新しい出力が過剰に登場し（支出される前に多くのリングに現れる）、古い出力は過小評価され、統計的敵対者に手がかりを与えてしまいます。ガンマモデルは人間や取引所が実際にコインを動かす様子を近似しており、本物の支出が周囲のチェーンノイズに自然に溶け込みます。

CLSAG・Bulletproofs+・2014年からの進化

Moneroのリング署名は固定設計ではありません。2017年以降の主要ハードフォークはどれも、暗号方式を強化し、署名サイズを縮小し、あるいはその両方を実現してきました。タイムラインを理解することで、2018年に「通用した」オンチェーン・フォレンジックが2026年には時代遅れになっている理由が見えてきます。

地平線上で最大のアップグレードはFCMP++（Full-Chain Membership Proofs Plus Plus）で、2026年後半の起動を目標としています。全チェーンから15のデコイを選ぶのではなく、各取引が「これまでに作られた出力全体」の集合内メンバーであることを証明します。匿名化集合は16からおよそ1億にジャンプし、検証はミリ秒で完了するほどコンパクトな暗号的議論で実現されます。

現在のリング署名を「16本の藁の山に針を1本隠す」ものと考えるなら、FCMP++は藁の山を麦畑全体に置き換える発想です。それでも検証者は、麦畑のどこかに針があるという事実だけは確認できます。

Monero開発者が次期Seraphis/Jamtisアーキテクチャを「世代的なアップグレード」と表現するのはこのためです。既存のプライバシー枠を拡大するだけでなく、「リング」を有限の選択可能集合として扱う概念そのものを廃止します。

リング署名・ステルスアドレス・RingCTの三層構造

リング署名だけを単独で語ると、Moneroの全体像を見誤ります。実際には、リング署名（送信者の難読化）、ステルスアドレス（受信者の難読化）、RingCT（金額の難読化）の3つが組み合わさって初めて、観察者から見える情報がほぼゼロになります。この3層がどのように噛み合うかを理解することは、なぜMoneroが特定の角度からの攻撃に耐え、Bitcoinに対する単純なミキサーでは到底再現できないプライバシー保証を実現できるのかを把握する鍵となります。

ステルスアドレスは、受信者がメインアドレスを公開しながらも、チェーン上には毎回異なるワンタイム公開鍵しか現れないようにする技術です。受信者は自分のビューキーを使って、自分宛ての出力をスキャンして見つけ出します。リング署名がこの仕組みと組み合わさることで、「同じ受信者に対する複数の支払いを束ねる」というクラスタリング攻撃が成立しなくなります。Bitcoinでは、同じアドレスへの複数支払いを集めれば受信者の活動グラフが描けますが、Moneroではそもそも同じアドレスがチェーン上に二度現れません。

RingCTは、入力金額と出力金額が等しいことを「金額を明かさずに」証明するゼロ知識的な仕組みです。Pedersenコミットメントは加法準同型性を持つため、入力コミットメントの和から出力コミットメントの和を引いたものがゼロになることを、平文の数値を一切公開せずに検証できます。Bulletproofs+のレンジプルーフは、各金額が負ではない（つまり「マイナスのコイン」を作って通貨供給を膨らませることはない）ことを、コンパクトに証明します。この3つの保証が同じ取引内で同時に成立しているため、観察者は送信者・受信者・金額のいずれについても有意な情報を得られません。

ステップ別：0.5 XMRを送るときに何が起きるか

具体的な取引を追ってみましょう。あなたはFeather WalletまたはCake Walletを開き、受取アドレスを貼り付け、0.5 XMRと入力して送信をクリックします。内部では以下のシーケンスが実行されますが、その大半は中程度のスペックのノートパソコンで2秒未満に完了します。

1. 出力選択：ウォレットは、0.5 XMRと手数料をカバーできる未使用出力を特定します。仮に0.7 XMR相当の出力が選ばれたとします。
2. デコイ取得：ウォレットは自分のノードあるいはリモートノードに問い合わせ、ガンマ分布に従ってチェーン履歴から15のもっともらしいデコイ出力を取得します。
3. リング構築：あなたの実出力が16のリングにシャッフルされます。位置から情報が漏れないよう順序はランダム化されます。
4. ステルスアドレス生成：受信者の公開アドレスはワンタイム・ステルス出力に変換され、彼らのビューキーでしか検出できません。受信者の公開アドレス自体がチェーン上に現れることはありません。
5. Pedersenコミットメント：金額（送信0.5、釣銭0.199、手数料約0.001）はPedersenコミットメントに暗号化されます。レンジプルーフ（Bulletproofs+）が、値を明かさずに各値が非負であることを証明します。
6. CLSAG署名：ウォレットは単一のCLSAG署名を生成し、リングメンバーシップとキーイメージのバインディングを同時に証明します。これが取引の暗号的心臓部です。
7. Dandelion++によるブロードキャスト：署名済み取引はDandelion++のstem-then-fluff伝播スキームを経由してメンプールへ入り、発信ノードのIPが難読化されます。
8. 確認：およそ2分後、取引はブロックに収まります。10確認（約20分）が多くの取引所や加盟店が採用する標準的なファイナリティ閾値です。

観察者の視点から、チェーン上に見えるのは16のリングメンバー（実1、デコイ15）、1つのキーイメージ（二重支払いがないことの証明）、2つのステルス出力先（釣銭用と支払用）、そして2つのPedersenコミットメントだけです。金額・送信者・受信者は、すべて暗号的に隠蔽されています。

ネットワーク層の脅威：リング署名だけでは守れないもの

リング署名は強力ですが、トランザクション層のプライバシーしか保護しません。あなたのウォレットがブロードキャストする取引には、IPアドレスというメタデータが付随します。仮にリング署名で送信者を完全に隠したとしても、ISPやネットワーク観察者が「特定のIPからXMR取引が発信された」という事実を捕捉できれば、現実世界の身元と取引が結びつく恐れがあります。これに対処するため、Moneroはネットワーク層でも複数の防御を提供しています。

第一に、Dandelion++はメンプール伝播の段階で発信元IPを難読化します。取引は最初「ステム段階」で単一のピアへ転送され、ランダムなホップ数を経た後に「フラッフ段階」で通常のブロードキャストに切り替わります。これにより、Sybil攻撃者がメンプールを観察しても、どのノードが取引を生成したのかを高い信頼度で特定することは困難になります。

第二に、ウォレットをTorまたはI2P経由で動かすことで、IP層の匿名性が追加されます。Feather Walletは標準で内蔵Torプロキシを提供し、Monero公式GUIも.onionリモートノードに直接接続できます。日本国内のユーザーが特に意識すべき点として、自宅の固定IPからXMRノードを公開運用することは、自分の支出を後にリンクされるリスクをわずかに上げる可能性があります。プライバシーを最大化したい場合は、リモートノードもTor経由で接続することが推奨されます。

実践でのリング署名：MoneroSwapperでのスワップ

理論は理論として、本物の交換でプライバシー保証が生き残るかは別の話です。MoneroSwapperを通じてBitcoinをMoneroにスワップするとき、取引のBTC脚はBitcoinチェーン上で完全に透明です。これはBitcoinがネイティブのプライバシーを提供しない以上避けられません。しかし、その資金がXMRになった瞬間、リング署名が引き継ぎます。

たとえば、2026年に東京在住のフリーランス開発者がアメリカのクライアントからBTCで報酬を受け取ったと想像してみてください。日本円での生活費を維持しつつ、海外旅行用の資金を秘匿化したい場合、彼女はBTCをMoneroSwapperの預入アドレスに送り、Cake Walletのステルスアドレスでネイティブに匿名化されたXMRを受け取ります。その時点から、XMR残高を観察するチェーン分析業者はリング署名で保護された出力しか目にしません。BTC脚と、その後彼女が行うMonero支払いとの間にリンクはなく、共有アドレスも、クラスタリングも、Bitcoin分析が依存する入出力グラフも存在しません。

これが、2018年のコインチェック事件後にXMRが国内取引所から外された後も、ジャーナリストや国境を越えて活動する個人事業主、そして金融監視が強化される地域での内部告発者が依然としてMoneroをルートとするノーKYC交換を推奨される理由です。具体的なワークフローとしては、BTCをFixedFloatやSimpleSwapのようなノーKYCサービス経由でXMRに変換し、ステルスアドレスで受け取り、必要に応じて再度別のサービスで法定通貨やステーブルコインに戻すという経路が一般的です。BTC段階の透明性とXMR段階の不透明性が組み合わさることで、観察者から見た資金フローは事実上分断されます。プライバシーは取引所層で後付けされているのではなく、資金がXMR側に入った瞬間に基盤プロトコルによって数学的に保証されています。なお、日本国内での税務上の取り扱いについては国税庁のガイドラインに従い雑所得として申告する必要がある点には留意してください。プライバシーと税務遵守は両立可能です。

リング署名にまつわるよくある誤解

Moneroのリング署名については、技術的に正確ではない言説が広く流布しています。代表的な誤解を整理しておきましょう。

誤解1：「リングサイズ16なら、デコイのうち15はランダムに選ばれた偽物だ」。実際には、デコイ自身もチェーン上に実在する過去の出力です。ただし、それらは現在の取引で支出されていません。観察者は16の候補出力のうちどれが「今回支出されている本物」かを区別できない、ということです。

誤解2：「キーイメージは秘密鍵のハッシュなので、十分なハッシュレートがあれば総当たりで秘密鍵を逆算できる」。これは事実誤認です。キーイメージは秘密鍵x単独のハッシュではなく、x・H_p(P)という形をしています（H_pは公開鍵をCurve25519上の点にマップするハッシュ）。離散対数問題が解けない限り、キーイメージから秘密鍵を逆算することはできません。

誤解3：「Moneroは規制されていないので、税務上も自由に使える」。これは特に日本のユーザーにとって危険な誤解です。プロトコル層でプライバシーが守られていることと、税務申告義務が消えることはまったく別の問題です。国税庁の暗号資産ガイドラインに従い、売却時の損益や決済時の含み益は雑所得として申告する必要があります。プライベートに記録を保持し、自分自身でログを管理することと、適切に申告することは矛盾しません。

誤解4：「リング署名は最終的にゼロ知識証明に置き換えられる」。これも半分しか正しくありません。FCMP++は確かにより強力な暗号プリミティブ（Curve Trees + Generalized Schnorr Proofs）を用いますが、それは「リング」の概念を消すと同時に、署名としての性質（誰かが鍵を知っていることの証明）を保持します。「リング」というUIが消えるだけで、ゼロ知識的な署名証明という本質は連続しています。

FAQ

リング署名と通常のデジタル署名の違いは何ですか？

通常の署名は「特定の1つの秘密鍵がメッセージを承認した」ことを証明し、検証者は誰が署名したかを正確に知ることができます。リング署名は「N個の秘密鍵のうち1つがメッセージを承認した」ことを証明しますが、どれかは明かしません。Moneroでは現在Nが16であり、各取引入力は区別不可能な16の支出候補者の集合によって署名されます。

チェーン分析でMoneroのリング署名の匿名性を破ることは可能ですか？

初期のMonero（2017年以前）に対する統計的攻撃は、リングサイズが極端に小さかったり選択可能だったりした時期に成功例がありました。2022年8月のハードフォークでリングサイズ16とガンマ重み付けデコイ選択が強制されて以降、プロトコル層での確実な匿名性破壊を実証した査読論文は存在しません。実際の攻撃面は依然として、Monero外でのアドレス再利用、取引所でのメタデータ漏洩、タイミング相関といった運用上のミスにあります。

なぜリングサイズは16に固定されていて、もっと大きくないのですか？

署名サイズと検証コストはリングサイズとともに増加し、リングが大きいほどすべてのノードが格納・同期・検証するデータ量が増えます。16は、匿名化集合のサイズとチェーン肥大化のトレードオフの現時点でのスイートスポットです。FCMP++のアップグレードはリングを簡潔な全チェーン・メンバーシップ証明に置き換えることでこのトレードオフを根本から回避し、実効的な匿名化集合をこれまでに作られたすべての出力にまで拡張します。

キーイメージとは平易に言うと何ですか？

キーイメージは、支出される実際の秘密鍵から導出される一意の指紋です。すべての取引はその指紋を1つ公開します。ノードは目撃したすべてのキーイメージを追跡し、重複はすべて拒否します。これがMoneroの二重支払い防止メカニズムです。重要なのは、キーイメージから秘密鍵やそれが由来する特定の出力を逆算することはできない点です。キーイメージはあくまで重複検出のフラグです。

Moneroのリング署名は量子耐性がありますか？

現時点ではありません。現行のCLSAGリング署名はCurve25519上の離散対数問題に依存しており、十分大規模な量子コンピュータが存在すればショアのアルゴリズムで破られます。Monero Research Labは格子ベースおよびハッシュベースのポスト量子候補を追跡しており、Seraphisは将来の量子耐性移行経路を念頭に設計されています。2026年現在、実用的な量子脅威は存在しませんが、ロードマップは長期的な懸念を認識しています。

ハードウェアウォレットを使うとリング署名の動作は変わりますか？

変わりません。Moneroに対応するTrezor Safe 3やLedgerデバイスは、ソフトウェアウォレットと同じCLSAG署名操作を、セキュアエレメント内で実行するだけです。リング構築、デコイ選択、キーイメージ生成は同一です。ハードウェアウォレットの価値は、暗号プロトコルを変えることではなく、支出鍵をオフラインに保つ点にあります。

日本のユーザーがMoneroを使う上での法的留意点は？

日本では2018年のコインチェック事件後、金融庁の指導により大手取引所がXMRを上場廃止しました。所有・利用そのものは現時点で違法ではありませんが、海外取引所やノーKYC型のスワップサービスを介して入手したXMRも国税庁のガイドラインに従い、売却益・支払い時の含み益は雑所得として確定申告する必要があります。プライバシーと税務遵守は両立可能であり、自分の取引履歴をプライベートに保管しつつ正しく申告することが推奨されます。ウォレット内のCSVエクスポート機能やMoneroオフィシャルGUIのトランザクション履歴出力を活用し、自分の管理下で記録を整理することが、長期的にはもっとも安全なアプローチとなります。

結論

リング署名はMoneroがマーケティングで前面に押し出す「機能」ではありません。プロトコル全体がその上に建てられた耐力壁そのものです。2014年のCryptoNote設計から始まり、MLSAGとBulletproofs、現在のリングサイズ16必須のCLSAG、そして2026年中に予定されているFCMP++へと向かう各段階の改良は、同じ根本的な約束を強化してきました。すなわち、「XMR取引の送信者は、チェーンを観察するいかなる者によっても識別不可能である」という約束です。

この保証こそが、Moneroがインターネット上の現金として実用に耐える理由であり、MoneroSwapperを経由するすべてのスワップが資金がXMR側に触れた瞬間に継承するものです。理論を実践に移したいのであれば、次のステップは単純です。CLSAG対応のウォレット（Feather、Cake、Monero GUIのいずれでも）をセットアップし、ノーKYC交換を通じて小規模なスワップをルーティングし、自分の取引がチェーン上にどれほど少しの情報しか漏らさないかを観察してください。あとは数学が仕事をしてくれるはずです。

最後に強調しておきたいのは、リング署名はあくまでツールであり、運用上の規律と組み合わさって初めて完全な保護を提供するという点です。同じステルスアドレスを公開ブログに貼り付ければ、いくらリング署名が強固でも紐付けは可能になります。スワップ後にすぐ同額をKYC取引所に送れば、タイミング相関が手掛かりになります。CLSAGはこうした運用上のリークまでは守れません。しかし、ベースラインの暗号的プライバシーが標準で提供され、選択肢としてではなく必須として全取引に適用されるという事実は、依然として暗号資産の世界で唯一無二の特性であり、Moneroが「インターネット時代の電子現金」という当初の理想にもっとも近づいているプロジェクトであり続ける理由です。