SeraphisとJamtis徹底解説:2026年Monero大変革
SeraphisとJamtisを徹底解説:2026年に控えるMoneroプロトコルの大変革
2025年末、Monero Research Lab(MRL)が最初の監査済みSeraphisライブラリ・ブランチをテスト用フォークへ静かにマージしたとき、プロトコル動向を追ってきた研究者・開発者の間で予感は確信に変わりました。Moneroは、2017年にRingCTを導入して以来、もっとも踏み込んだトランザクション層の再設計に向けて準備を進めています。Seraphisは単なる機能追加ではありません。トランザクション・プロトコルそのもの、送信者の匿名性を支える暗号証明、そしてウォレットでユーザーが目にするアドレス形式まで、レイヤー全体を置き換える設計です。Seraphisの上に乗るアドレッシング層であるJamtisは、過去5年以上にわたってあらゆるMoneroウォレットの基盤となってきたサブアドレス形式を引退させます。
本稿では、koe・jberman・UkoeHBをはじめとする中核研究者が膨大な時間を費やして練り上げてきたSeraphisとJamtisの全体像、その背景にある動機、一般ユーザーにとって何が変わるのか、そしてMoneroSwapperのようなKYC不要スワップサービスがどのように移行を吸収し、利用者に再学習を強いずに済むのかまでを丁寧に解きほぐしていきます。これまでにXMRを送受信したことがある方であれば、現在使っているアドレスはいずれ非推奨になります。アクティベーション当日に慌てるより、いま理解しておくほうがコストは圧倒的に低いはずです。
なぜMoneroはSeraphisを必要としたのか
現在のMoneroのトランザクション・プロトコルは、長年にわたる積層的な改良の産物です。基礎となる証明であるCLSAGは、2020年10月のハードフォークでMLSAGを置き換え、リング署名のサイズを約25%縮小しました。とはいえ、依然として直近のアウトプットからサンプリングされた16個のデコイで構成される固定リング上で動作している点は変わりません。「16分の1」と聞けば直感的には十分頑健に思えますが、統計的ヒューリスティック、タイミング解析、いわゆる「EAE攻撃」(eve-alice-eve)などは、敵対的モデルにおいて送信者匿名性を少しずつ削り取っていきます。2019年以降、メンプール全体を観測できる潤沢な予算を持つ解析者であれば、確率的に無視できない割合のアウトプットを匿名化解除しうることを示す査読論文が複数発表されてきました。
代替可能性(fungibility)の観点では、問題はさらに複雑になります。CLSAGリングには本物の使用先と15個のデコイが含まれますが、デコイ自体は過去のトランザクションから引かれたアウトプットです。トランザクションAとトランザクションBが互いをデコイとして引用しており、チェーン解析側が片方の可能性を排除できた場合、もう片方の確度は相対的に高まってしまいます。集約的には堅牢であっても、辺縁部からじわじわと漏れていく構造です。Seraphisは、匿名性集合(anonymity set)を劇的に拡大しつつ、メンバーシップと所有権の証明を分離することで、この漏出経路を塞ぎにいきます。
- 匿名性集合の桁違いの拡張:Seraphisは、アクティベーション時に選択される曲線と証明系に応じて、128個や256個、あるいはそれ以上のアウトプットに対するメンバーシップ証明をサポートできるように設計されています。証明サイズは対数的に増加するため、128分の1のリングはCLSAGの16分の1と比較しても、バイト単価でほとんど増加しません。
- 関心の明確な分離:現行のCLSAGは「この16個のうちのどれかを私が保有している」という主張と「まだそれを使用していない」という主張をひとつの証明に束ねています。Seraphisはこれをメンバーシップ証明と構成証明(composition proof)に分解します。結果として、それぞれを独立に最適化・監査・アップグレードできるようになります。
- ビューキーの細分化:現在のビューキーは、それを保有する者に対して受信アウトプットを全て露出します。会計士、取引所、税理士のいずれもが等しく同じ情報を浴びてしまう構造です。Seraphisは階層化されたビューキーを導入し、ユーザーが「受信のみ」を許可したり、お釣り(change)や自己送金は隠したまま入金記録のみを開示したりといった、目的に応じた最小限の閲覧権限を委ねられるようにします。
- 差し替え可能な証明系:Seraphisアーキテクチャは、メンバーシップ証明を「プラグイン」として扱います。当面のターゲットはFCMP++(Full-Chain Membership Proofs Plus Plus)で、これが実装されればチェーン上のあらゆるアウトプットがデコイ候補として機能しうるようになります。16からの跳躍幅は、もはや段違いです。
誤解のないように補足すれば、現在のCLSAGが破綻しているわけではありません。学術的な暗号研究が成熟し、設計空間が前進したという話です。Moneroの研究文化は「動いているから十分」では満足せず、「証明可能により良い」選択肢があるならそちらを選ぶ姿勢を貫いています。代償は実装の複雑さと数年がかりの移行期間ですが、得られるのは今後10年の解析ツーリングに耐える匿名性の基盤です。
Seraphisがトランザクションをどう再構築するか
Seraphisは単一の暗号プリミティブではなく、トランザクション・プロトコル全体を指します。何が変わるのかを把握するには、今日XMRを送るときに内部で起きていることを順に追い、Seraphis版での挙動と対比してみるのが近道です。ユーザー体験としての差はささやかですが、内部実装には決定的な違いが生まれます。
CLSAGから構成証明+メンバーシップ証明へ
CLSAGの世界では、ウォレットはチェーンから15個のデコイを抽出し、自分の本物を加えて16個のリングを構築し、「このうちのどれかが私のもので、二重使用していない」というひとつの証明に署名します。Seraphisの世界では、ウォレットは2つの独立した証明を構築します。構成証明は「私はこのアウトプットの正当な所有者であり、二重使用していない証拠としてキーイメージはこれだ」と主張します。メンバーシップ証明は「私が参照しているそのアウトプットは、チェーン上のこの広い匿名性集合に存在する」と主張します。両者は暗号的に結び付いていますが、生成プロセスは独立しているため、後から匿名性集合を拡張する際にトランザクション形式全体を再設計せずに済む拡張性が確保されます。
キーイメージ自体も再設計されます。現行のキーイメージは、ワンタイム・アウトプット鍵と支出鍵から決定論的に導出される巧妙な構成ですが、長年にわたって境界事例研究の対象であり続けてきました。Seraphisは新しいキーイメージ形式を導入し、いずれチェーン全体のUTXO集合を匿名性集合として扱えるようにすることを目指すFCMP++と前方互換になるよう設計されています。
Carrot:アウトプット符号化レイヤー
CarrotはSeraphisと並行して設計された、アウトプット符号化スキームです。現行の出力は受信者の公開ビューキーとトランザクション固有の共有秘密から導出されるステルスアドレスを用いますが、Carrotではこれにビュー残高鍵(view-balance key)、内部/外部の識別マーカー、前方秘匿性ヒントなどの新フィールドが加わります。実務的な恩恵としては、まずウォレットのスキャンが高速化します。内部アウトプット(自分宛のお釣り)を完全に復号せずに識別できるようになるからです。さらにビューキーを用いた監査がより安全になります。監査人にはユーザーが明示的に許可した範囲しか見えないためです。
Carrotはまた、デフォルトで「Janus保護」を符号化に組み込みます。Janus攻撃とは、悪意ある送信者が「2つの受信アドレスのうちどちらが資金を受け取ったかをあとから証明できるアウトプット」を構築する攻撃です。現行プロトコルではサブアドレスのチェックでこれを緩和していますが、Carrotは予防策を出力フォーマット自体に焼き込みます。ウォレット側のポリシー実装に頼るのではなく、暗号レベルで一群のバグを丸ごと潰す方針です。
トランザクションサイズと手数料
「Seraphisになるとトランザクションが大きくなって手数料も上がるのでは?」という疑問はよく聞かれます。正直に答えると、短期的にはおそらく多少増えます。長期的にはおそらく減ります。初期のSeraphis証明はアクティベーション時の構成次第でCLSAGの1.5倍から2倍程度になる見込みです。一方でMoneroの動的ブロックサイズはバイト数ではなく混雑度に基づいて手数料をスケールさせる設計で、Bulletproofs+は2022年に既に範囲証明を積極的に小型化しました。FCMP++が実装されて匿名性集合がチェーン全体規模に拡張されれば、「プライバシー1単位あたりのバイト数」という観点では現在より大幅に効率化されます。
Jamtis:ユーザーが実際に触れるアドレッシング層
Seraphisがエンジンであるならば、Jamtisはダッシュボードです。構成証明を読むユーザーはほとんどいませんが、Moneroアドレスをコピー&ペーストしないユーザーは存在しません。Jamtisはそのアドレス自体と、その背後にある鍵階層を再設計し、Seraphisがもたらすプライバシー強化をウォレット・取引所・加盟店との実際のやりとりに反映させます。
現行のMoneroアドレスはbase58で95文字、メインネット用のプライマリアドレスは「4」、サブアドレスは「8」から始まります。エンコードされているのは公開支出鍵と公開ビューキーのみで、構造としてはほぼそれだけです。Jamtisアドレスは長さこそ若干短いか同程度(最終形式はプロトコルレベルでまだ確定途上)ですが、エンコードされる構造は格段に豊かになります。アドレス・インデックス、アドレス種別(メイン、取引所、インテグレーテッド、補助)のフラグ、そしてフィッシングや置換攻撃を防ぐ認証タグまで含まれます。
| 項目 | 現行(サブアドレス) | Jamtis |
|---|---|---|
| アドレス長 | 95文字(base58) | 約196文字(設定可能な符号化) |
| アドレス種別 | メイン+サブアドレス | メイン、取引所、インテグレーテッド、補助 |
| ビューキー階層 | フルビューキー1種 | 受信検出、入金閲覧、残高閲覧、全閲覧の4層 |
| Janus攻撃対策 | ウォレット側のポリシーチェック | 出力フォーマットに組込み |
| アドレス認証 | プロトコルレベルでは無し | MACタグによる置換防止 |
| シードフレーズ | 25語レガシーまたは16語Polyseed | 16語Polyseed互換 |
ビューキーの階層化は、現実の痛点を解決する点で特筆に値します。現行構造では、税理士にビューキーを渡すとそのアカウントが過去に受信したアウトプット全て——自分の支出から戻ってくるお釣り、自分のサブアドレス間の内部送金、副業や別ルートの入金まで——が一括で見えてしまいます。Jamtisでは、監査人に必要な階層だけを渡せます。「受信検出」キーは入金の有無のみ、金額は伏せたまま開示します。「入金閲覧」キーは金額付きの入金を見せますがお釣りは隠します。「残高閲覧」キーは個別トランザクションを開示せず、コンプライアンス報告に必要な使用可能残高だけを伝えます。そして全てを見られる「全閲覧」キーは、ユーザー自身が秘匿しておく前提です。
MoneroSwapperのように、利用者の入金を確認しつつもそれ以上のウォレット履歴には触れたくないサービスにとって、この階層構造はより清潔な統合とデフォルトでより強固なプライバシーをもたらします。スワップサービスは「合意した金額が合意したアドレスに送られたか」だけを検証でき、利用者の全残高、お釣りの流れ、その他の入金活動を一切知らずに済みます。これが重要なのは、プライバシー保護を掲げるサービスが収集しなかったメタデータの1バイトは、召喚状の対象にならず、漏洩経路にもならず、ソーシャルエンジニアリングの引き出し対象にもならないからです。
プライバシーのアップグレードが一文で説明しきれるとすれば、それはほぼ確実に説明として粗すぎます。SeraphisとJamtisは合わせてひとつの体系——証明、符号化、アドレス、鍵階層、ウォレットUXが協調して動くシステム——です。機能リストとしてではなく、パッケージとして扱うべきものです。
移行ロードマップ:ウォレットの準備手順
Seraphisのハードフォーク日程は本稿執筆時点で確定していません。MRLとコアチームは慎重な姿勢を貫いており、「カレンダーで決める」より「準備が整い次第」という方針を明示しています。過去のMoneroハードフォークではユーザーに2〜6ヶ月の予告期間が与えられてきましたが、Seraphisは複雑度を考慮すれば長めの側に振れる可能性が高いでしょう。具体的なアクティベーション週がどこになろうとも有効な、実務的な準備チェックリストを以下にまとめます。
- シード形式の棚卸し:レガシーな25語シードを使い続けている場合は、フォーク前に16語のPolyseedベースのウォレットへ移行することを検討してください。PolyseedはJamtisの導出パスと前方互換ですが、レガシーシードはフォーク時にウォレット側で変換ステップを踏む必要があります。
- ウォレットソフトウェアをフォーク前に少なくとも2回更新する:Monero GUI、CLI、Feather Wallet、Cake Walletの各チームは、フォーク前に複数のリリースを出すのが通例です。アクティベーション前月から公式のリリースノートと利用ウォレットのチェンジログを追ってください。一部のウォレットは大型アップグレードを手動承認の後ろに置くため、自動更新だけに頼るのは危険です。
- 予備端末でシードからのフルリストアを実演する:大型プロトコル更新の前に最も価値あるリスク管理は、書き留めたシードが実際に資金を復元できるかを検証することです。別マシンにクリーンなMonero CLIまたはFeather Walletを立ち上げ、シードから復元し、残高が一致することを確認してください。2回行うこと。そして、フォークがない平時でも半年に一度は行ってください。
- サブアドレスの整理:取引先ごと、加盟店ごとに数十のサブアドレスを使い分けてきたユーザーは、移行が若干複雑になります。フォーク前にいくつかのサブアドレスへ資金を集約し、それぞれに分かりやすいラベルを付けておくと、移行後の心象モデルが大幅にシンプルになります。
- ビューキー共有関係の文書化:会計士、取引所、監査ツールにビューキーを渡している場合、誰にどの目的で渡したかを書き出しておきましょう。Jamtisアクティベーション後は、レガシーなフルビューキーから新しい階層化キーへ関係を切り替えたくなるはずです。
- 「フォーク後スイープ」のガイダンスに注意:過去のMoneroアップグレードでは、新形式で使用可能にする前に古い形式のアウトプットを「スイープ」する必要が生じたケースがあります。Seraphisで必要になる場合、Moneroコアチームから明確な指示が出ます。フォーラムやSNS上の噂を根拠に独断で動かないでください。
KYC不要のスワップサービス利用者にとっては、運用面の影響は概して最小限です。よく設計されたサービスはプロトコル移行を抽象化してくれます。利用者はアドレスを渡し、サービス側がXMRを返し、Seraphis/pre-Seraphisの出力形式の差はバックエンドで吸収されます。MoneroSwapperの場合、宛先アドレスのプロトコルバージョンは顧客に意識させずルーティング判断として扱われるため、いつものワークフローをそのまま続けられます。
実例:新モデル下でスワップを受け取る
2026年中盤の典型的なシナリオを考えてみましょう。Seraphisが既にアクティベートされている前提です。東京在住のユーザーがKYCを経ずにビットコインをMoneroへ交換したいと考え、MoneroSwapperのようなスワップサービスを訪れます。利用者は更新済みのウォレット(FeatherWalletや公式Monero GUI)で生成したJamtis受信アドレスを貼り付け、サービスが提示するビットコイン入金アドレスへBTCを送信します。
裏側ではスワップサービスがBTCを流動性プールに通し、Moneroを調達し、利用者のJamtisアドレス宛にSeraphisトランザクションを構築します。このトランザクションには構成証明、128出力(あるいはそれ以上)の匿名性集合に基づくメンバーシップ証明、そして利用者のウォレットがワンパス・スキャンで識別できるCarrot符号化された出力が含まれます。利用者は通常の10〜20分の承認時間で資金がウォレットに到着するのを確認します。
利用者の目線で何が変わったか——表示上は何も変わりません。内部で何が変わったか——匿名性集合は1桁拡大し、出力符号化はプロトコルレベルでJanus攻撃を防ぎ、スワップサービスは利用者のMonero活動全般について何も学ばずに済みました。システムはより多くのプライバシー仕事を、透過的に行いました。これこそが、うまく実行されたプロトコル更新の到達点です。利用者には不可視、監査人には実証可能な強化として現れる、というやつです。
Moneroエコシステム外から流入する層——プライバシーに関心を持ち始めたビットコイナーや、プライバシーコイン新規参入者——にとっては、Seraphis期が初めての接触になる可能性が高いはずです。彼らは16分の1リング署名時代の不便を知ることはないでしょう。ちょうど現代の利用者が、トランザクション金額がチェーン上で公開されていたpre-RingCTの時代をほとんど思い出せないのと同じです。プロトコル更新とは本来そうあるべきものです。静かな改善が、いつの間にか新しい基準線になっている、という形が理想です。
日本のユーザーに固有の論点:税務と取引所まわり
日本のXMR保有者にとって、Seraphis移行を検討する際に避けて通れないのが税務上の取り扱いです。国税庁は暗号資産の譲渡損益について雑所得(場合により事業所得)として申告するよう求めていますが、Moneroは過去数年で複数の国内取引所から上場廃止になった経緯があります。現在国内法定通貨で直接Moneroを取得する手段は事実上限られており、海外DEXやノンカストディアル・スワップサービスを介した取得が主流です。Seraphisアクティベーション後も、この実務的な調達経路は基本的に変わりません。
注意したいのは、Jamtisで導入されるビューキー階層が、確定申告時の証憑管理をむしろシンプルにし得る点です。税務上の取引履歴を税理士に開示する際、現行のフルビューキーを渡す必要はなくなり、「入金閲覧」キーで十分という運用が技術的に可能になります。これは、税務調査への対応における過剰開示リスクを構造的に抑える材料になります。ただし、ビューキーの階層が日本の税務当局に運用上どう受け取られるかは前例がないため、税理士と早めに相談しておくことをお勧めします。
また、ハードウェアウォレットを利用している日本のユーザーは、Trezor・Ledgerのファームウェア更新タイミングが日本語サポート窓口とは独立で進行する点に留意してください。フォーク当日に焦ってファームウェアを更新するより、ベンダーの公式チャネルでMoneroサポートが確認されてから着手するほうが安全です。
取引履歴の自己管理という観点では、Seraphis移行はかえって追い風になり得ます。現行のフルビューキー運用では、税理士や会計ツールに渡したデータが意図せず広範な情報を含んでしまい、後から「あの入金は本来開示する必要がなかったのに」と気付くケースが散見されました。Jamtisの階層化キーは、必要十分な情報だけを切り出して提供する設計思想そのものをプロトコルレベルに持ち込んでおり、日本の個人情報保護や守秘義務の観点とも相性が良い構造です。スワップサービス側もこの恩恵を受け、利用者から預かる情報を最小化できるため、万一の漏洩や法的開示要請に対するリスク表面積が縮小します。
コントリビューターとして関わる選択肢
Seraphisは数年がかりのプロジェクトであり、コア開発者だけで完結するものではありません。テストネットでの検証、ウォレット側のUX改善、日本語コミュニティ向けのドキュメント翻訳、ハードウェアウォレット連携の検証など、技術レベルに応じて貢献できる余地が多数存在します。日本語話者として独自に貢献できる領域として、国内ユーザー向けの移行ガイド整備や、税務観点を踏まえたビューキー運用のベストプラクティス文書化などは特に価値が高いはずです。MRLの議事録、GitHubのSeraphisリポジトリ、Matrixチャンネルなどに目を通すところから始めれば、フォーク当日までに自分にできることが自然と見えてきます。
FAQ
SeraphisとJamtisはいつメインネットでアクティベートされますか?
確定日程はまだ発表されていません。MRLとコアチームは、暗号監査の完了、ライブラリの安定化、主要実装でのウォレット統合、そして少なくとも1回のフルテストネット・サイクルの完遂を、アクティベーション条件として繰り返し表明しています。2025年末時点のコントリビューター発言を平均すれば、2026年後半から2027年中盤の幅に収まりますが、プロジェクト文化はセキュリティ・クリティカルなアップグレードについて「カレンダー駆動の出荷」を明示的に拒否しています。権威ある時期情報は、公式リリースノートおよびMRLの議事ログを参照してください。
現在のMoneroアドレスはアップグレード後も使えますか?
はい、移行期間中は使えます。Moneroの過去のハードフォークは、レガシーアドレス宛の送金が確実に到着するよう、後方互換性のあるアドレス取り扱いを含めてきました。長期的には、ウォレットがJamtisアドレスへの移行を促し、いずれ新規ウォレットがレガシーアドレスの生成を停止する可能性があります。現行アドレスに保管されている資金が即座に失効するリスクはありませんが、フォーク前後にはウォレットソフトウェアの更新を行っておくべきです。
SeraphisはMoneroのテイルエミッションや供給スケジュールを変えますか?
変えません。Seraphisはトランザクション層のプロトコル更新であり、通貨政策には触れません。1ブロックあたり0.6 XMRのテイルエミッションは継続されます。総発行カーブ、ブロック報酬の動的調整、RandomXによるプルーフ・オブ・ワーク・アルゴリズムは、いずれもSeraphisとは独立しており、本アップグレードの影響を受けません。
SeraphisはTrezorやLedgerのようなハードウェアウォレットとの互換性を壊しますか?
ハードウェアウォレットのベンダーは新しい証明形式と鍵導出パスをサポートするためにファームウェアを更新する必要があります。歴史的には、TrezorとLedgerはともにMoneroハードフォークに合わせたファームウェア更新を出荷してきましたが、数週間から数ヶ月のラグが生じることもあります。ハードウェアウォレット利用者は、フォーク当日にデバイスのファームウェアを盲目的に更新しないでください。ベンダーから新ファームウェアが現行プロトコル版に対応していることが明確に確認されてから着手し、移行期間中はソフトウェアウォレットのバックアップ手段も併用してください。
Seraphisは他のプライバシープロジェクトのアプローチとどう違いますか?
Zcashはzk-SNARKsを用いた完全シールドトランザクションを採用しており、理論的には強力なプライバシーを提供しますが、歴史的には信頼セットアップ・セレモニーを必要とし、採用率も限定的です(Zcashの取引量の大半は透明型に留まります)。GrinなどのMimblewimble系チェーンは、出力集約に基づく根本的に異なるモデルを採用しており、コンパクト性と引き換えに監査可能性をある程度犠牲にしています。Seraphisはリング署名とステルスアドレスというMonero既存モデルの枠内に留まりつつ、その設計を実用上の限界まで押し上げます。トレードオフは実装の複雑さですが、信頼セットアップが不要で、現行Moneroと連続的な利用者体験を維持できる点が強みです。
フォーク前にMoneroSwapperでJamtisアドレスへスワップできますか?
いいえ、現時点ではできません。Jamtisアドレスは現行の量産ウォレットでは生成できないためです。プロトコルがアクティベートされ、Monero GUI・Feather・Cake Walletなどの主要ウォレットがJamtis対応を展開すれば、スワップサービスは移行期間中、レガシーアドレスと並行して新アドレス形式を受け付けるようになります。それまでは、既存のMoneroアドレスがあらゆるスワップ用途で従来通り機能します。
結論
SeraphisとJamtisは、Moneroが解析手法の進化に後手で反応するのではなく、先んじてプライバシーの基盤を底上げし続けるという姿勢の表明です。このアップグレードは派手ではなく、価格高騰ナラティブを生むわけでもなく、ユーザーの日常的な操作を劇的に変えるものでもありません。それが行うのは、ネットワーク全体のプライバシー下限を一段押し上げ、ユーザーに「何を、誰に開示するか」をより細かく制御する手段を与え、今後10年のMonero開発に必要な暗号的土台を据えることです。XMRを保有している方、あるいは日々のプライバシー保護決済に使っている方は、これから半年から1年でシード形式の確認、ウォレットソフトウェアの更新習慣、リストアプロセスの検証を済ませておきましょう。フォーク当日が「ノーイベント」であるほど、それは成功です。KYC不要・アカウント不要で、Seraphisへの移行を透過的に処理するスワップサービスを今日から使い始めたい場合は、MoneroSwapperにアクセスして手持ちの暗号資産を数分でXMRに交換してください。
🌍 他の言語で読む