2-of-3は攻撃者に有利｜SSSが増やす標的と閾値設計の盲点

シャミアの秘密分散（SSS）を家族や信頼できる人3人に配った。そう言い切れる人は、自分のBTCセキュリティを一歩前進させたと感じているかもしれません。「1枚では情報が漏れない」という数学は正しい。問題は、その先の脅威モデルにあります。

数学が正しくても、脅威モデルが間違えば意味がない

SSSの設計は情報理論的に堅牢です。2-of-3の閾値設定なら、シェアを1枚しか持っていない攻撃者はシードの情報を1ビットも得られません。この性質は数学的に証明されており、反論の余地がありません。

しかし「1枚では情報ゼロ」という命題は、攻撃者が1枚しか入手できないことを暗黙の前提にしています。現実の攻撃は、そんな都合のいい前提で設計されていません。

3枚配った瞬間、標的は3人に増える

シェアを3人に渡すとき、あなたは意図せず「私はBTCを保有しており、その鍵はこの3人のうち2人が協力すれば取り出せる」という情報を3人全員に伝えています。

攻撃者の立場から見れば、状況は単純です。あなた1人を標的にするより、3人の中から2人を特定して接触する方が選択肢が広がります。あなた自身が強固な意志を持って拒否できたとしても、残りの3人のうち2人が何らかの形で協力させられた時点で、BTCは失われます。

物理的な脅迫でも、詐欺的な手口でも、標的が1人から3人に増えているという事実は変わりません。シェアの数学的安全性は、「誰にシェアを渡したか」という社会的な事実を隠すことができないのです。

過剰修正の罠：3-of-3が作る永久消失

「それなら全員必要にすれば安全では」と、3-of-3を選ぶ人がいます。しかしこれは別の致命的な問題を生み出します。

3人全員が揃わなければ復元できない設定では、1人が事故で亡くなる、連絡が取れなくなる、あるいは単純に人間関係が壊れるだけでBTCは永久に取り出せなくなります。セキュリティを高めようとした結果、自分が自分のBTCへのアクセスを自ら封じる設計になってしまいます。

2-of-3は攻撃者に有利すぎ、3-of-3は自分に対して厳しすぎる。この閾値設計のジレンマはSSSが抱える構造的な問題であり、簡単には解消できません。

信頼する人の数と、リスクの数は比例する

BTCセキュリティの基本原則のひとつは、シードの存在を知る人間を最小化することです。SSSは本来、シード紛失や保有者の死亡という単一障害点を解決するために有効な手法です。

しかし「信頼できる人なら大丈夫」という判断には盲点があります。その人自身が攻撃の対象になったとき、あなたには何もできません。3人に渡せば、あなたのBTCの在処を知る人間が3人存在することになる。そのうち2人が同時に標的にされれば終わりです。

シンプルな防御が最も堅牢な理由

高度な分散スキームより、シンプルな設計の方が現実の攻撃に対して強い場合があります。

金属プレートに刻んだシードを物理的に安全な場所に保管し、BIP-39パスフレーズを自分の記憶の中にだけ置く。このシンプルな構成では、シェアを持つ人間は自分1人であり、物理的な金属プレートを入手しても記憶の中のパスフレーズがなければ情報はゼロです。

SSSが解決しようとする問題（単一障害点の排除）は確かに実在します。しかしその解決策として「信頼できる人を増やす」のではなく、「自分の記憶というシェアを組み合わせる」構成の方が、標的を最小化できます。

自分のBTCのために、脅威モデルを再設計する

SSSを否定しているわけではありません。どのような脅威からBTCを守りたいのかによって、正しい設計は変わります。

• 自分の死後に相続人へ渡したい場合は、タイムロックやデスクスイッチとの組み合わせを検討する価値があります。
• 自分の記憶だけに頼りたくない場合は、地理的に分散した複数拠点への金属プレート保管という選択肢があります。
• それでもSSSを使うなら、シェアを持つ人間が「存在を知っている」という事実そのものがリスクになると理解した上で設計することが前提です。

「数学的に正しい」ことと「自分のBTCを守れる」ことは、別の問題です。今日の自分のシード管理が、どの脅威に対して有効で、どの脅威に対して無防備なのかを一度確認してください。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。