Seraphisとは?Moneroの次世代プロトコル
Seraphisとは?Moneroの次世代トランザクションプロトコル
Moneroのリングサイズは、2022年8月のハードフォーク以降「16」で固定されています。つまり送金するたびに、あなたの本物の入力が、ぴったり15個のデコイ(おとり)の中に紛れ込む仕組みです。この「16」という数字は意図的な妥協点でした。素人レベルの分析を挫くには十分に大きく、それでいてトランザクション手数料を安く保てるほど小さい――そのバランスを狙った数字だったのです。しかし研究者たちは何年も前から、もっと難しい問いを突きつけてきました。「チェーンを膨張させずに、あなたの送金を数千個、あるいは過去に作られたすべての出力の中に隠すには、何が必要なのか?」と。Seraphisは、Monero Research Labがこの問いに対して生み出した、最も野心的な答えの一つです。
最近Moneroのロードマップに関する記事を読んだことがあるなら、Seraphis、Jamtis、FCMP++という三つの名前が、はっきりとした関係の説明もないまま一緒くたに語られているのを目にしたかもしれません。「Seraphisは、もうすぐ自分のウォレットに届く次のアップグレードなんだろう」と思い込んでいる人もいます。しかし2026年時点の実情は、それよりもずっと興味深く、ずっと込み入っています。本記事では、Seraphisが実際には何なのか、どんな問題を解決するために設計されたのか、現在あなたのコインを守っているRingCTとCLSAGの仕組みとどう違うのか、そして実際に世に出ようとしている技術との位置関係はどうなっているのかを解説します。MoneroSwapper経由で手に入れたXMRを保有している方も、自分でマイニングしたコインを持っている方も、このロードマップを理解しておけば、誇張に振り回されずにアップグレードのニュースを読み解けるようになります。
なぜSeraphisが必要なのか:現行プロトコルの限界
Moneroはすでに、三つの面からあなたのプライバシーを守っています。RingCTが取引金額を隠し、ステルスアドレス技術が受取人を隠し、リング署名――現在はCLSAGという形式――が「あなたが実際にどの入力を使ったのか」を隠します。この仕組みは確かに機能していますが、研究者たちを何年も悩ませてきた構造的な限界を抱えています。
- 匿名性セットが小さく固定されている:リングサイズ16ということは、チェーン分析者は最初から「16分の1」の確率で当てにかかれるということです。悪くはありませんが、「チェーン全体という干し草の山の中の一本の針」という、最大限のプライバシーが求める水準には届きません。ヒューリスティックやタイミング分析によって、確率がさらに絞り込まれてしまう場合もあります。
- デコイは時間とともに劣化する:リングは既存の出力からサンプリングされるため、「最も新しい出力が本物の送金であることが多い」といった統計的な偏りが、分析者に確率的な手がかりを与えてしまいます。そしてこの手がかりは、送金パターンが蓄積されるにつれて時間とともに強まっていきます。
- プロトコルがモノリシック(一枚岩)である:現在の設計では、メンバーシップ証明、所有権の証明、金額の証明が密結合になっています。後からより優れた証明システムに差し替えようとすると、きれいなモジュール交換ではなく、深く危険な書き直しが必要になってしまいます。
- マルチシグが脆い:Moneroの既存のマルチシグ(多重署名)方式は悪名高いほど複雑で、これまでに何度も修正を重ねてきました。土台となる数学そのものが、そもそもきれいなマルチシグを念頭に置いて設計されていなかったのです。
Seraphisは、Moneroの研究者koe氏によって、こうした構造的な問題を一挙に解決するための、トランザクションプロトコルのゼロからの再設計として構想されました。既存のCryptoNote由来の設計にまたパッチを当てるのではなく、Moneroのトランザクションが「私はこれらの出力のうちの一つを所有しており、それをちょうど一度だけ使い、金額の収支は合っている」ことをどう証明するか――その根本を作り直すのです。しかもそれを、次のフォークまでではなく、これから10年は持ちこたえるような形で実現しようとしています。
Seraphisが実際に変えるもの
Seraphisは「抽象的なトランザクションプロトコル」として理解するのが最もしっくりきます。つまり、有効な送金が満たすべきルールを定義する一方で、その下で動く証明システムが将来進化できるよう、意図的に余白を残しているのです。この抽象化こそが、設計の核心です。Seraphisの設計は、Lelantus Sparkや、それ以前のTriptych提案といった学術的成果を下敷きにしており、現行プロトコルが一緒くたに押し込んでいた関心事を分離します。
差し替え可能なメンバーシップ証明
目玉となる特徴は「分離(デカップリング)」です。Seraphisでは、メンバーシップ証明――あなたが使った出力が、もっともらしい出力の集合に属していることを示す部分――が、差し替え可能なコンポーネントになっています。匿名性セットはもう、リングサイズ16に固定で配線されてはいません。プロトコルははるかに大きなセットをサポートでき、そして決定的に重要なのは、将来もう一度プロトコル全体を作り直さなくても、より強力な証明システムを採用できるという点です。
ここで「フルチェーン・メンバーシップ証明」が物語に登場します。リングサイズ16の中でのメンバーシップを証明する代わりに、チェーン上にこれまで存在したすべての出力――2026年時点で優に1億を超えています――の集合の中でメンバーシップを証明することが目標になります。そうなれば、ある送金はMoneroの歴史上のほかのどの出力とも見分けがつかなくなります。これは数学的に意味を持つ範囲で、最も強力なメンバーシップ・プライバシーです。
Jamtis:アドレッシングの層
新しいトランザクションプロトコルには、新しいアドレッシング方式が必要です。それがJamtisです。Seraphisが「送金がどう証明されるか」を司るのに対し、Jamtisは「資金がどうアドレス付けされ、スキャンされ、受け取られるか」を司ります。Jamtisは、リングの数学とは無関係でありながら、日々の利用に直結している、ウォレットレベルの長年の不満を解消するために設計されました。
- すっきりしたアドレス:Jamtisは、標準アドレス・統合アドレス・ペイメントIDという、ぎこちなく分かれた仕組みを、一つの一貫したアドレス形式に置き換えます。過去にメタデータを漏洩させてきたレガシーなペイメントIDの仕組みは、廃止されます。
- より速く、より確実なスキャン:現行のサブアドレス方式は、事前計算された「先読みウィンドウ」に依存しています。そのため、そのウィンドウをはるかに超えた番号のサブアドレスに送られた資金を、ウォレットが取りこぼしてしまうことがあります。Jamtisは、そんな脆い当て推量のゲームなしに、ウォレットが受け取った資金を確実に検出できるよう設計されています。
- Janus攻撃への耐性:Janus攻撃とは、悪意のある支払いを細工することで「あなたの二つのアドレスが同じウォレットに属している」ことを確認しようとする攻撃です。Jamtisは耐性を組み込んでおり、この手口で二つのアドレスをひも付けることはもうできなくなります。
階層化されたウォレットアクセスと前方秘匿性
最も実用的なイノベーションの一つが「階層化された鍵(ティアード・キー)」です。今日のMoneroウォレットは、実質的にViewキー(閲覧鍵)とSpendキー(送金鍵)しか持たず、「全部見せるか、何も見せないか」という大ざっぱな二択しかありません。Jamtisは複数の鍵の階層を導入し、異なる相手やデバイスに、きめ細かく権限を付与できるようにします。
ある加盟店を思い浮かべてみてください。ある階層の鍵はPOS(販売時点)端末に新しいアドレスを生成させ、別の階層は経理担当者にどの支払いが届いたかを検出させ、さらに上位の階層はバックオフィスに残高全体を計算させる――しかもそのいずれもが、送金を承認する鍵を一切さらすことなく実現できます。同じ構造は、閲覧専用ウォレットやライトウォレット用サーバーといったものも改善し、さらに前方秘匿性(フォワード・シークレシー)の性質もサポートします。これにより、明日ある鍵が漏洩したとしても、過去にあなたが受け取ったすべてが遡って暴かれる、ということがなくなります。
Seraphisは、オンに切り替えるだけの単一機能ではありません。Moneroが毎回床板を引きはがすことなく、何年にもわたってプライバシー保証をアップグレードし続けられるよう設計された、新しい「土台」なのです。
Seraphis vs 現行プロトコル vs FCMP++
ここが、多くの人を混乱させる部分です。Seraphis、Jamtis、FCMP++は、関連はしていても別物であり、しかもその三者の関係は2023年から2025年にかけて大きく変化しました。下の表は、それぞれが今日稼働しているプロトコルとどう比較されるかを整理したものです。
| 項目 | 現在(CLSAG + RingCT) | Seraphis + Jamtis | FCMP++(近い将来の道筋) |
|---|---|---|---|
| 入力あたりの匿名性セット | 16(本物1 + デコイ15) | 大規模・差し替え可能、最大でフルチェーン | フルチェーン――過去に作られた全出力 |
| 2026年時点のステータス | メインネットで稼働中 | 研究・仕様策定済み、未有効化 | 来たるフォークに向け活発に開発・監査中 |
| 変更の範囲 | ― | トランザクションプロトコル全体の置き換え | 既存RingCT出力上でのメンバーシップ証明の刷新 |
| アドレッシング方式 | 標準/統合 + ペイメントID | Jamtis | Carrot(Jamtisに着想を得たもの) |
| マルチシグ | 複雑・パッチ済み | 設計段階から、よりクリーン | アップグレードと併せて改善 |
FCMP++――フルチェーン・メンバーシップ証明を強化した形式で、その大部分はkayabaNerveとして知られる研究者によって開発されました――こそが、現実的なブレイクスルーです。当初の前提は、フルチェーン・メンバーシップ証明はSeraphisの中に同梱されて届くだろう、というものでした。ところがFCMP++は、トランザクションプロトコル全体を先に置き換えなくても、Moneroの既存のRingCT出力の上に展開できることが分かったのです。FCMP++は、楕円曲線のサイクル(HeliosとSeleneという名前が付けられています)を「カーブツリー」として並べた構造に、送金認可・リンク可能性の証明を組み合わせることで、あなたの入力がリングサイズ16ではなくチェーン全体に属していることを証明します。
FCMP++は、プロトコルの完全な書き直しに伴う何年ものリスクを負うことなく、最大の単一プライバシー向上――16からフルチェーンへの飛躍――をもたらします。そのため、コミュニティはこれを優先しました。コミュニティ資金による専用の取り組みが、2024年から2025年にかけて、FCMP++の暗号方式に対する複数の独立した監査の費用を賄いました。それと並行して、Carrotと呼ばれる新しいアドレッシング方式が、Jamtisの利点の多く(Janus耐性、階層化された鍵、前方秘匿性)を、Seraphisを先に必要とすることなくFCMP++の世界へもたらします。
フルチェーン・メンバーシップ証明はどう機能するのか
「1億個の出力の中から一つを使った」と証明するのに、1億個すべてを一つずつ照合していたら、トランザクションは巨大になり、検証は重くなりすぎてしまいます。FCMP++がこの問題を回避する鍵が「カーブツリー(曲線の木)」という構造です。チェーン上のすべての出力を木構造の葉として束ね、複数の出力を一つのノードへとハッシュでまとめ、さらにそれを上の階層でまとめる――これを繰り返していくと、最後には木全体を代表する一つの「根(ルート)」にたどり着きます。あなたが証明するのは「私が使った葉から根まで、正しい道筋が一本通っている」ことだけです。木の高さは出力数の対数に比例してしか伸びないので、出力が1億個あっても、証明のサイズと検証コストは現実的な範囲に収まります。
ここでHeliosとSeleneという二つの楕円曲線が登場します。木の各階層を効率よくつなぐには、ある曲線のスカラー体が次の曲線の基礎体になっている、という相性の良い「サイクル」を組む必要があり、その役を担うのがこのペアです。これに加えて、FCMP++は送金認可とリンク可能性(二重支払いを防ぐための、鍵イメージにあたる仕組み)の証明を組み合わせます。結果として、「チェーン上のどれか一つの出力を所有している」「それを一度だけ使う」「金額の収支は合っている」という三点を、本物がどれかを一切明かさずに同時に証明できるのです。これがリングサイズ16からチェーン全体への飛躍を、現実的なコストで成り立たせている仕掛けです。
2026年のロードマップにおけるSeraphisの位置づけ
では、Seraphisはもう死んだのでしょうか?いいえ。ただし、もはや「すぐ次に来る一歩」ではありません――そしてこれこそが、本記事から理解すべき最も重要な一点です。Seraphisを生み出した思考は、そのままFCMP++とCarrotへと直接流れ込み、その二つが、より短く・より安全なタイムラインで、最も価値ある改善を取り込んでいます。トランザクションプロトコルを丸ごと入れ替えるという完全な形のSeraphisは、フルチェーン・メンバーシップ証明が稼働した後に、コミュニティが追求するかもしれないし、しないかもしれない、より長期的な選択肢として残っています。
あなたがごく普通のMoneroユーザーである場合、こうした技術が実際にどのようにあなたのもとへ届くのかを説明しましょう。
- 研究と監査が完了する。暗号研究者がアップグレードの仕様を策定し、その後、独立した企業がコードと数学を監査します。FCMP++は2024〜2025年に、まさにこの工程を経ました。
- ハードフォークが予定される。Moneroはおおむね一定の周期でネットワークアップグレードを調整し、コンセンサスの変更を日付の決まったフォークにまとめます。
- あなたがソフトウェアを更新する。フォークが実施されたら、getmonero.orgの公式ウォレット(またはハードウェアウォレットのファームウェア)を更新します。鍵と残高はそのまま引き継がれ、コインを手動で移動させる必要はありません。
- 古いトランザクション形式が無効になる。フォークの高さ(ブロック高)を過ぎると、ネットワークは新しい形式を要求し、あなたのウォレットは自動的に新しい方式でトランザクションを構築します。
言い換えれば、あなたが「Seraphisをインストールする」ことはありません。あなたはハードフォークのタイミングでウォレットを更新するだけであり、その下で動くプロトコルは、ネットワークが有効化に合意したもの――最も可能性が高いのは、まずFCMP++とCarrot、そしてその先にSeraphis流の変更が来る可能性がある、というもの――になります。
日常的なMoneroユーザーにとっての意味
こうした話をすべて学術的なものとして片付けるのは簡単ですが、実用上の利害は現実のものです。日本のユーザーにとって、これは決して他人事ではありません。2018年、Coincheckの大型ハッキング事件のあと、金融庁(FSA)は国内取引所に対しプライバシーコインの取り扱いを見直すよう圧力をかけ、CoincheckはMonero、Zcash、Dashの上場を廃止しました。それ以来、国内の規制下にある取引所でXMRを直接買うことは、事実上できなくなっています。海外に目を向けても、2024〜2025年にかけて、EUのMiCAのような枠組みのもとでルールが厳格化し、さらにFATFが形づくる勧告による圧力もあって、上場廃止の波が続きました。こうした流れが、多くの保有者を、口座不要のスワップとセルフカストディ(自己管理)へと向かわせました。まさに、Moneroのプライバシーが今なお機能しているからです。本記事で説明したアップグレードは、ますます高度になるチェーン分析の一歩先に、そのプライバシーを保ち続けるためのものです。
リモートワークの報酬としてXMRを受け取るフリーランサーを考えてみましょう。今日、彼らが受け取る各支払いは16人のリングメンバーの中に隠れており、十分なデータポイントを持つ執念深い分析者なら、その匿名性を少しずつ削り取れるかもしれません。しかしフルチェーン・メンバーシップ証明がいったん有効化されれば、同じ支払いはMoneroの歴史上のすべての出力の中に隠れ、「最も新しい出力が本物だろう」というヒューリスティックは完全に機能しなくなります。このフリーランサーは、ウォレットを更新する以外、何も特別なことはしません――それでいて、あらゆるトランザクションの下にあるプライバシーの「床」は、一気に高くなるのです。
ユーザーにとっての結論は、「落ち着いて辛抱する」ことです。今日Seraphisのニュースに対して何か行動を起こす必要はありませんし、先回りしてコインを動かす必要もありません。そして、それに関して焦りを煽って何かを売り込もうとする人は、疑ってかかるべきです。次のフォークが告知されたら、予定通りにウォレットを更新し、ニーモニックシード(復元用の単語列)をオフラインでバックアップしておきましょう。その間にもし保有量を増やしたくなったら、MoneroSwapper経由で口座なしにXMRを入手し、自分が管理するウォレットへ直接送れます。あなたが特に何もしなくても、足元のプロトコルは進化し続けていくのです。
日本のユーザーが押さえておくべき実務ポイント
プロトコルの進化と並んで、日本の保有者には押さえておくべき実務上の論点がいくつかあります。まず税務です。国税庁は暗号資産の売却・交換・決済による利益を、原則として「雑所得」として扱う立場を示しており、給与など他の所得と合算して総合課税されます。プライバシーが守られているからといって申告義務が消えるわけではありません。Moneroのプライバシーは、チェーン上で第三者があなたの取引を追跡しにくくするための技術であって、税務申告を回避する手段ではない、という点は明確に区別しておくべきです。取得価額や売却時の時価を自分で記録しておくと、後の計算がはるかに楽になります。
次にカストディ(保管)です。前述のとおり、国内の規制下にある取引所ではXMRを直接扱っていないのが実情です。だからこそ、自分で鍵を管理するセルフカストディの重要性が、ほかの通貨以上に高まります。公式ウォレットはgetmonero.orgから入手でき、より高いセキュリティを求めるなら、対応するハードウェアウォレットと組み合わせる選択肢もあります。いずれの場合も、ニーモニックシードを紙やメタルプレートに記録し、ネットに接続されていない場所で複数箇所に分散保管しておくことが、資産を守る最も基本的で確実な手段です。
そしてプライバシーの実務です。本記事で見てきたアップグレードは、足元のプライバシーを底上げしてくれますが、ユーザー側の運用が雑だと台無しになります。送金時にTorやI2Pを併用してネットワークレベルの匿名性を高める、受け取りごとにアドレスを使い分ける、といった基本的な衛生管理は、Seraphisの時代になっても変わらず重要です。プロトコルが強くなるほど、弱点は人間の運用側に移っていく、と心得ておきましょう。
よくある質問(FAQ)
Seraphisは今、Monero上で稼働していますか?
いいえ。2026年時点で、Seraphisは研究・仕様策定済みのプロトコルにとどまっており、Moneroのメインネットではまだ有効化されていません。ネットワークは現在も、CLSAGリング署名とリングサイズ16のRingCTで動いています。コミュニティが近い将来のアップグレードとして優先しているのはFCMP++であり、これは既存のプロトコルを丸ごと置き換えるのではなく、その上にフルチェーン・メンバーシップ証明をもたらします。
SeraphisとJamtisの違いは何ですか?
Seraphisはトランザクションプロトコルそのものであり、差し替え可能なメンバーシップ証明を含め、「送金がどう有効と証明されるか」を定義します。一方Jamtisは、Seraphisと組み合わせるために設計されたアドレッシング方式で、アドレスの作り方、ウォレットが受け取った資金をスキャンする仕組み、Janus攻撃への耐性、そして階層化された鍵アクセスを司ります。Seraphisをエンジン、Jamtisをその上に築かれたアドレッシングとウォレットの層、と考えると分かりやすいでしょう。
SeraphisはFCMP++とどう関係していますか?
両者は目標こそ重なりますが、範囲が異なります。フルチェーン・メンバーシップ証明は、当初Seraphisの中に入って届くと見込まれていました。FCMP++はそれを強化した版であり、トランザクションプロトコル全体を先に入れ替えなくても、Moneroの現行RingCT出力の上に展開できます。そのため、より早く、より少ないリスクで世に出せるのです。Seraphisの背後にあった思考の多くが、FCMP++と、その相棒となるアドレッシング方式Carrotへと流れ込みました。
Seraphisが導入されたら、古いMoneroが使えなくなりますか?
いいえ。ネットワークアップグレードが変えるのは、新しいトランザクションをどう構築・検証するかであって、誰が何を所有しているかではありません。あなたの鍵と残高は、ハードフォークをまたいでそのまま引き継がれます。アップグレードが有効化されたら、新しい形式に対応したバージョンへウォレットソフトを更新するだけで、あとはウォレットが自動的に新しい方式でトランザクションを組み立てます。コインを手作業で移行する必要は一切ありません。
匿名性セットはどれくらい大きくなるのですか?
フルチェーン・メンバーシップ証明が実現すれば、あなたが使った入力は、現在のリングサイズ16ではなく、Moneroチェーン上にこれまで作られたすべての出力――2026年時点で1億を超えています――と証明可能なほど見分けがつかなくなります。これは数学的に意味を持つ範囲で最も強力なメンバーシップ・プライバシーです。なぜなら、時間とともに劣化したり統計的に区別されたりするデコイが存在せず、チェーン全体がそのまま匿名性セットになるからです。
日本の取引所でMoneroを買えますか?
2018年以降、金融庁の方針を受けて、国内の規制下にある取引所はMoneroを含むプライバシーコインの取り扱いを取りやめています。そのため、国内取引所の口座から直接XMRを購入することは事実上できません。現実的な入手経路は、海外の取引所、あるいはMoneroSwapperのような口座不要のスワップサービスを使い、別の暗号資産をXMRに交換して、自分が管理するウォレットへ直接送金する方法です。いずれの場合も、税務上の記録は自分で残しておく必要があります。
アップグレード後、トランザクションの手数料やサイズはどうなりますか?
フルチェーン・メンバーシップ証明は、匿名性セットを劇的に広げる一方で、証明のサイズと検証コストを現実的な範囲に抑えるよう設計されています。カーブツリー構造のおかげで、証明のサイズは出力数の対数にしか比例しないため、出力が1億個を超えても手数料が青天井に膨らむことはありません。具体的な手数料は最終的な実装と、フォーク時のネットワークの状況次第ですが、「16からチェーン全体へ」というプライバシーの飛躍に見合わないほど高くつく、という設計にはなっていません。
まとめ
Seraphisは、あなたが押すボタンとしてではなく、「研究の土台」として理解するのが最も適切です。それは、はるかに大きな匿名性セット、Jamtisによるすっきりしたアドレッシング、階層化されたウォレット鍵、そしてまともなマルチシグをサポートするために設計された、Monero Research Labによる抽象的でモジュラーなトランザクションプロトコルです。その最も価値あるアイデア――あなたの送金がリングサイズ16ではなくチェーン全体に属していることを証明すること――は、FCMP++とCarrotアドレッシング方式を通じて、より早く到来しつつあります。これらは、完全な書き直しなしに、今日のRingCTの土台の上に展開できるものです。この区別を知っていることこそが、情報に通じたMoneroユーザーと、ロードマップの噂を追いかけるだけの人とを分けるものです。そしてもう一つ覚えておきたいのは、Seraphisが体現した「モジュール化」という設計思想そのものは、たとえ完全な形のSeraphisが実装されなくても、これからのMoneroに生き続けるという点です。証明システムを差し替え可能にしておくという発想は、暗号研究が進むたびにプロトコル全体を作り直さずに済む余地を残します。FCMP++はその最初の大きな果実であり、将来さらに優れた証明方式が登場したときにも、同じ哲学が滑らかな移行を支えてくれるはずです。次のハードフォークが実施されたら、やるべきことはシンプルです――ウォレットを更新し、シードを安全に保つ。それだけです。そして、暗号研究者たちが作業を進めている間に保有量を増やしたいなら、MoneroSwapper経由で匿名でMoneroを購入し、鍵が決して自分の手を離れないウォレットで保有することができます。
🌍 他の言語で読む