GMOコネクトのCTOをしている菅野 哲(かんの さとる)です。
なんか新しいサービスが出てくると暗号利用はどうなっているの?と気になる暗号おじさんなのです。
特にメッセージングサービスって、IETFでMLSが標準化されてから独自プロトコルを作るのってメリットないよね〜っていう気持ちになっているのですが、今回はどうでしょうか?
はじめに
2025年11月15日、X(旧Twitter)が従来のDM(Direct Message)を刷新し、新たなメッセージング機能「Chat」を全ユーザー向けにローンチしました。
イーロン・マスク氏が2025年10月31日収録のThe Joe Rogan Experience(エピソード #2404)で 「Bitcoin-style encryption(ビットコイン様式の暗号化)」 と表現し[1]、セキュリティの高さをアピールしているこの機能ですが、技術仕様書(Whitepaper)やプロトコル詳細は公開されていません。
技術的な観点(特にIETF標準や暗号学的なトレンド)から見ると、SignalやWhatsAppとは全く異なる、独自かつ特異なアーキテクチャであることが分かってきました。Whitepaperの不在により、第三者による独立した技術検証が困難な状況です。
本記事では、暗号おじさん的に気になる、以下の3つの技術的観点からXのChat仕様を深掘りします。
- MLS (Messaging Layer Security) の採用有無
- E2EE (End-to-End Encryption) の実装における「Bitcoin-style」の意味とリスク
- PQC (Post-Quantum Cryptography) への対応状況
TL;DR(結論)
- 技術仕様書(Whitepaper)は未公開。プロトコル詳細が不明で、第三者による検証が困難
- MLS (RFC 9420) は不採用。非同期ラチェットのようなモダンなグループ鍵管理は実装されていない
- 「Bitcoin-style」の正体は、おそらくsecp256k1などの静的な楕円曲線暗号への依存
- PFS (Perfect Forward Secrecy: 完全前方秘匿性) が欠如している可能性が高く、一度鍵が漏れると過去ログが全て復号されるリスクがある
- PQCは非対応。Signal (PQXDH) や iMessage (PQ3) のような量子耐性はない
- 秘密鍵はサーバー管理(PIN保護)であり、デバイスバウンドではない
1. MLSは採用されたか?
結論:No
IETFで標準化が進む MLS (Messaging Layer Security, RFC 9420) は、大規模なグループチャットにおいて効率的にE2EEを実現するためのプロトコルです。特に TreeKEM などの構造を用いて、メンバーの追加・削除時の鍵更新コスト(re-keying)を対数オーダーで処理できる点が特徴です。
X Chatの実装
XのChatは、MLSのような動的な鍵更新(Ratchet)を重視したものではなく、静的な鍵ペアに依存している挙動が見られます。
MLSの肝である「Post-Compromise Security (PCS: 侵害後の回復性)」を実現するための複雑な鍵更新プロセスが、XのUX(特にPINコードによる鍵の復元)とは相容れないため、採用が見送られた(あるいは技術思想が異なる)と考えられます。
MLSの主要特性:
- TreeKEMによる効率的な鍵配布(O(log n)の計算量)
- メンバー追加・削除時の自動的な鍵更新
- Post-Compromise Security(侵害後の回復性)
- 非同期メッセージングへの対応
これらの特性は、X Chatには実装されていないと推測されます。
2. 「Bitcoin-style encryption」の技術的意味とE2EEの脆弱性
Bitcoin-styleとは何か
イーロン・マスク氏の発言にある「Bitcoin-style」は、技術的には以下を指していると推測されます。
-
曲線:
Curve25519(Signal等で主流) ではなく、Bitcoinで使われるsecp256k1を使用している可能性 - 鍵管理: 暗号資産ウォレットのように「秘密鍵」を何らかの手段(シードフレーズやPIN)で管理する
ただし、X Chatの技術仕様書(Whitepaper)は公開されておらず、実装の詳細は不明です。 複数の報道でも「full protocol details were not published at launch(ローンチ時にプロトコルの完全な詳細は公開されていない)」と指摘されています[2]。
これをメッセージングアプリにそのまま適用することには、現代のセキュリティ基準から見て2つの致命的な欠陥があります。
① Perfect Forward Secrecyの欠如
Signalプロトコル(Double Ratchet Algorithm)では、メッセージごとに一時鍵(ephemeral key)を生成・廃棄するため、仮に現在の秘密鍵が盗まれても、過去のメッセージを復号することは不可能です。これがPFS(Perfect Forward Secrecy: 完全前方秘匿性)です。
一方、XのChatは「デバイスが変わってもPINで履歴が復元できる」仕様を優先しており、静的な秘密鍵をサーバー上に(暗号化して)保存していると考えられます。
リスクシナリオ:
もし攻撃者がPINを突破してサーバー上の秘密鍵を入手した場合、過去数年分の会話ログが全て復号されてしまうリスクがあります。これは「Bitcoinの秘密鍵が漏れたら全資産を失う」のと同義ですが、チャットにおいて「過去の全会話」が人質になるのはプライバシー上、致命的です。
② MITM対策の不足
現状、ユーザーが互いの公開鍵指紋(Fingerprint)を検証するUIが提供されているか不明確、あるいはヘルプページ等で「MITM (Man-in-the-Middle: 中間者攻撃) 保護は提供していない」旨の記載が見受けられます。
これは、サーバー(X社)が悪意を持てば、通信の間に割って入ることが技術的に可能であることを意味します。
主要メッセンジャーとの比較:
- Signal: Safety Numberによる鍵検証機能を標準搭載
- WhatsApp: Security Codeによる検証が可能
- iMessage: Contact Key Verificationを提供
- X Chat: 鍵検証機能の存在が不明確
3. PQCへの対応状況
量子計算機の脅威
現在、主要なメッセージングアプリは「Harvest Now, Decrypt Later」攻撃への対策を急いでいます。
この攻撃シナリオでは、攻撃者が現在暗号化された通信を記録しておき、将来の量子計算機で解読することを想定しています。CRQC (Cryptographically Relevant Quantum Computer: 暗号学的に意味のある量子計算機) の実現時期については諸説ありますが、機密性の高い情報は10〜15年の保護を見込む必要があります。
主要プラットフォームのPQC対応状況
| プラットフォーム | PQC対応状況 | 実装プロトコル | 備考 |
|---|---|---|---|
| Signal | ✅ 対応済 | PQXDH (NIST ML-KEM-1024ベース) | 2023年9月から段階的に展開 |
| iMessage | ✅ 対応済 | PQ3 (ML-KEMベース) | 2024年2月発表、iOS 17.4以降 |
| ⚠️ 検討中 | (Signalプロトコル準拠のため順次) | Signalの実装に追随予定 | |
| X Chat | ❌ 非対応 | 古典的ECCのみ | PQCロードマップ不明 |
X Chatの課題
XのChatは、古典的な楕円曲線暗号(ECC: Elliptic Curve Cryptography)に依存しており、耐量子性はありません。
PQCの導入には、鍵サイズが増大するためプロトコルレベルでの設計変更が必要です。「Bitcoin-style」という既存の暗号資産系のライブラリや思想に固執している場合、PQCへの移行(例:ML-KEMとの古典・PQCハイブリッド化)は容易ではないと予想されます。
技術的課題:
- ML-KEM-1024の公開鍵サイズ:約1,568バイト(secp256k1は33バイト)
- 暗号文サイズ:約1,568バイト
- 既存の「Bitcoin-style」ライブラリとの互換性
- サーバー側のストレージとトラフィック増加
まとめ:エンジニアはどう捉えるべきか
XのChat機能は、UI/UXとしては「LINE」や「WhatsApp」のような利便性を目指していますが、セキュリティプロトコルの設計思想は2010年代前半(あるいはそれ以前)のレベルに留まっていると言わざるを得ません。
最大の問題は、技術仕様書(Whitepaper)が公開されておらず、プロトコルの詳細が不明瞭である点です。
これにより、セキュリティ研究者や第三者機関による独立した検証が困難となっており、「Bitcoin-style encryption」という曖昧な表現の実体が明らかになっていません。
利用を推奨できないユースケース
特に以下の要件が必須となるユースケースでは、利用を推奨できません。
-
PFSが必須な機密情報のやり取り
- 企業の内部情報、技術仕様、個人情報など
-
国家レベルの検閲や監視を回避する必要がある場合
- MITM攻撃のリスクが高い環境での利用
-
10年後も秘密を守りたい場合
- PQC非対応のため、将来的な量子計算機による解読リスク
セキュリティ評価の視点
「暗号化されているから安全」というマーケティングワードを鵜呑みにせず、以下を見極める必要があります。
- 透明性: プロトコルの詳細が公開されているか、第三者監査を受けているか(X Chatは未公開)
- プロトコル: 標準化されたプロトコル(MLS、Signalプロトコル等)を使用しているか
- 鍵管理: 鍵はどこにあるのか(On Device vs On Server)
- Forward Secrecy: 過去のメッセージの保護は十分か
- PQC対応: 将来の量子計算機への耐性はあるか
参考文献
X Chat発表・発言
- [1] Elon Musk on Messaging Platform X Chat's Features and Bitcoin-Like P2P Encryption - CoinDesk - The Joe Rogan Experience #2404(2025年10月31日収録)での発言
- [2] x chat messaging Elon Musk's Bitcoin-style encryption debate - Cryptonomist - プロトコル詳細の未公開について
- Elon Musk Teases X Chat, an Encrypted Messenger Inspired by Bitcoin - The Currency Analytics
IETF仕様
PQC関連
- Signal Blog: PQXDH - Introducing a post-quantum secure Signal Protocol
- Apple Security Research: iMessage with PQ3 Protocol
- NIST FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard
セキュリティ分析
- Double Ratchet Algorithm Specification
- Bitcoin: Standards for Efficient Cryptography 2 (SEC 2) - secp256k1の仕様
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。