ステルスアドレスは追跡可能か？Moneroプライバシー2026

2026年2月、デルフト工科大学の研究グループが、あるプライバシーコインの部分的な匿名性破壊を主張する論文を公開しました。発表から数時間も経たないうちに、SNSは「ステルスアドレスはもう破られた」という断定的な投稿で溢れかえりました。しかし論文を丁寧に読むと、対象となっていたのは単一のデコイしか持たないMoneroのフォークコインであり、Moneroそのものに対する主張は一切含まれていませんでした。それでもなお、寄付やフリーランス報酬、マーケットプレイスの決済をXMRで受け取ろうと考えるユーザーから、同じ質問が繰り返し寄せられます。ステルスアドレスは本当に追跡可能なのか、もし可能ならば、誰によって、どのような条件下で追跡されるのか。本稿では、マーケティング的な美辞麗句ではなく、技術的に誠実な回答を直接お伝えします。ステルスアドレスの正体、チェーン分析の文脈における「追跡可能性」の意味、2026年における実世界の攻撃者にできることとできないこと、そしてMoneroのデフォルト設定でもなお注意が必要な領域を順を追って解説します。具体的なスワップ事例が理解の助けになる場面では、MoneroSwapperを用いた取引を例に挙げ、今日からあなた自身で再現できる手順に基づいて説明します。

ステルスアドレスの本質

ステルスアドレスとは、受信者の二つの公開鍵から送信者側で導出される、使い捨ての公開宛先のことです。受信者はウォレットに表示される長期的なメインアドレスのみを公開しますが、チェーン上に着金する各支払いはすべて、リンク不可能な新規の出力として記録されます。同一人物への複数の支払いがチェーン上で同じ宛先に紐付くことはなく、外部の観察者がアドレスだけを見て「これらの出力は同じウォレットに属する」と特定することは不可能です。

具体的には、Moneroは三つの原理を組み合わせてこれを実現しています。受信者はビューキー（閲覧鍵）とスペンドキー（使用鍵）を保有します。送信者はランダムなスカラーrを生成し、受信者のビューキー側と共有秘密を計算し、これを用いてトランザクションに書き込まれる実際の出力公開鍵を導出します。対応するビューキーを持つ者だけが受信出力をスキャンして「この出力は自分宛だ」と認識でき、スペンドキーを持つ者だけが後にそれを使うトランザクションに署名できます。この鍵の分離こそが、保管権を放棄せずに会計監査を可能にする仕組みです。会計士にビューキーを渡せば、彼らは受信資金を確認できますが、それを動かすことはできません。

• 一つの宛先から無数の出力へ：Moneroアドレス一つで無制限の支払いを受信できますが、各支払いはそれぞれ固有の使い捨て鍵で記録されます。
• アドレスの再利用は不可能：Bitcoinではアドレス再利用がプライバシー上の重大な失策ですが、Moneroではプロトコル層で暗号学的に再利用そのものができません。
• 送信者単独で計算可能：受信者がオンラインである必要はなく、送信者は公開情報のみからステルス出力を一方的に導出します。
• 閲覧専用監査：ビューキーは保持者に受信支払いを開示しますが、スペンドキーは露出しません。会計の透明性が必要な企業や慈善団体にとって有用な仕組みです。

つまり「ステルスアドレスは追跡可能か」と問われたとき、まず明確にすべきは「どのような追跡を試みているのか」です。同一受信者への複数の支払いをアドレスから紐付ける行為こそ、ステルスアドレスが特に防御するために設計されたものであり、この狭い意味での質問への答えは明確に「ノー」です。公開チェーンしか持たない者にはそれは不可能です。より難しい問いは、その周辺で何が漏洩するかです。

チェーン分析における「追跡可能性」の実際

チェーン分析企業は通常、暗号そのものを破ろうとはしません。彼らが破ろうとするのは相関関係です。典型的な調査は、取引所のKYC記録、IPメタデータ、タイミング分析、行動指紋を組み合わせて容疑者集団を絞り込み、その後オンチェーンのヒューリスティクスを用いて仮説を確認または否定します。Bitcoinのような透明なチェーンに対しては、この手法は極めて有効に機能します。なぜなら、すべての出力が再利用可能なアドレスに恒久的に紐付き、すべての資金フローが可視だからです。これに対し、ステルスアドレス、リング署名、RingCT、Bulletproofs+を組み合わせたMoneroに対しては、同じ手法が複数の地点で行き詰まります。

追跡可能性を議論する際には、三つの異なるプライバシー特性を区別すると理解が深まります。

受信者プライバシー

これがステルスアドレスが提供する特性です。チェーンを観察する者は、複数の出力を単一の受信者アドレスに紐付けることはできず、特定のアドレスが資金を受け取った形跡があるかどうかも判断できず、Bitcoinで可能なような「アドレス残高」を算出することもできません。受信者の同一性は、暗号学的には、送信者の一時鍵と受信者のビューキーの間のディフィー・ヘルマン共有秘密の下に隠されています。ビューキーがなければ、この秘密の計算は事実上不可能です。2018年以降に発表された学術的攻撃——Möserら、Yuら、EAE攻撃など——はいずれも送信側またはリング署名の弱点を標的としており、ステルスアドレス構造自体を狙ったものはありません。

送信者プライバシー

送信者プライバシーは、ステルスアドレスではなく、リング署名と今後実装予定のFCMP++によって提供されます。送信者が出力を使うとき、デコイとして他の15個の出力を参照します。生成されるCLSAG署名は、16個のうちの一つが実際の送信者であることを、どれであるかを明かさずに証明します。歴史的な攻撃の大半はここに着地しました。初期のリングメンバー選択アルゴリズムの弱点により、本来の設計よりも容易に実際の入力を推測できる場合があったのです。現代のMoneroはデコイ選択を大幅に強化しており、2026年中にメインネットでの有効化が予定されているFCMP++は、16メンバーのリングを使用可能なUTXO集合全体からなる匿名性集合に置き換えます。これによりこの攻撃面は事実上閉鎖されることになります。

金額プライバシー

金額はPedersenコミットメントを用いるRingCTによって隠蔽され、その範囲はBulletproofs+によって値を明かすことなく正しさが証明されます。外部の観察者は、あるトランザクションで何XMR動いたかを見ることはできず、入力の合計が出力の合計と手数料の和に等しいことしか確認できません。仮に将来何らかの攻撃で送信者または受信者の匿名性が破られたとしても、追加のサイドチャネル情報がない限り、金額は依然として隠されたままです。

ステルスアドレスは受信者の連結不可能性を完全に解決します。しかしそれ単独では、送信側やネットワーク層の匿名性破壊を解決するようには設計されていません。それはリング署名、Dandelion++、そして規律ある運用衛生の役割です。

2026年における実際の攻撃者の実力

「ステルスアドレスは追跡可能か」に誠実に答えるには、強力な攻撃者がMoneroユーザーを標的にしたときに実際に達成できることを見る必要があります。マーケティング資料での主張ではなく、実態を見るのです。過去五年間にXMRユーザーの実名が特定された事例のほとんどは、以下の三つの経路から来ており、いずれもステルスアドレスの数学を破るものではありません。

攻撃手法	実際に悪用されるもの	ステルスアドレスで防御可能か
KYC取引所の記録	入出金を取引所ログ経由で身元と紐付ける	不可——取引所側の漏洩であり、オンチェーンのプライバシーとは独立
IPレベルのノード指紋採取	トランザクションを最初に伝播したノードの監視	不可——Dandelion++とTor/I2Pで緩和されるもので、ステルスアドレスではない
ビューキーの強制開示	令状、端末押収、ウォレットファイル抽出マルウェア	不可——漏洩した場合、ビューキーはステルスプライバシーのオフスイッチとなる
リング署名のデコイ偏り	古いまたはバグのあるウォレットが推測可能なデコイを選択	不可——別の原理であり、現行ウォレットとFCMP++で修正済み
アドレス連結ヒューリスティクス	同一の宛先を複数の支払いで再利用	可——ステルスアドレスが防御するのはまさにこれ
チェーン横断のタイミング・金額相関	「1.23 BTC送ったら10分後に0.94 XMR着金」の照合	部分的——金額は隠蔽されるが、ブリッジやスワップで時刻が漏洩

パターンに注目してください。Moneroユーザーが裁判記録や押収発表で特定されたあらゆる事例において、紐付けはオフチェーンの情報源から来ています。取引所が記録を引き渡した、端末が押収された、サーバーログが召喚された、ユーザーが複数の身元にわたってインフラを再利用した、といった具合です。2026年中盤現在、ステルスアドレス構造そのものが、公に文書化された一件たりとも失敗点となった事例はありません。

これは原理的に暗号が無敵だという意味ではありません。スタック全体の他の部分がステルスアドレス層よりも遥かに脆弱であるため、攻撃者がわざわざ強い鎖に攻撃する動機を持たないということです。あなたの身元を守る一連の錠前を想像してみてください。ステルスアドレスは金庫の扉です。サイドウィンドウの錠前は、本人確認済みの取引所アカウントなのです。

必ず理解すべきビューキーの例外

ステルスアドレスで保護された支払いが完全に追跡可能になるシナリオが一つだけ存在し、これは見落とされがちです。あなたのビューキーを持つ者は、あなたがこれまで受け取ったすべての支払いを閲覧できます。これこそが設計の本旨であり——監査を可能にするため——同時にビューキーがウォレットの受信履歴への読み取り専用アクセスと機能的に等価であることを意味します。

2026年のユーザーにとっての実務的な意味合いは以下のとおりです。

1. ビューキーは機密情報として扱うこと。「支払いの確認のため」と称して、素性の不明な第三者が運営するブロックエクスプローラーに貼り付けるのは絶対に避けてください。彼らはあなたの受信履歴への永続的な読み取りアクセスを手に入れることになります。
2. 慈善団体、企業、共有ウォレットを運営しており、透明性を確保したい場合は、意図的にビューキーを公開し、すべての受信支払いが公的記録になることを受け入れてください。Monero開発陣自身もGeneral Fundウォレットでこれを実践しています。
3. 端末が押収された場合、ビューキーはウォレットファイルから抽出されたと想定すべきです。過去の受信活動は鍵を握る者にとって可読となります。送信プライバシーと金額プライバシーは部分的に有効ですが、受信者プライバシーはもはや適用されません。
4. LedgerやTrezorといったハードウェアウォレット（XMR対応モデル）はスペンドキーを隔離して保持しますが、ビューキーは走査性能のためにホスト側にキャッシュされる場合があります。これを念頭に運用設計を行ってください。
5. 一部の軽量ウォレットや「閲覧専用」モバイルクライアントは、走査のためにビューキーをリモートサーバーへアップロードする必要があります。ドキュメントを必ず読み、ビューキーの行き先が判然としないウォレットは、機密性の高い用途では使用しないでください。

「警察は私のステルスアドレスを追跡できるのか」という質問の答えがニュアンスを帯びるのもこのためです。捜査機関が端末への令状を持ってビューキーを抽出した場合は、はい——そのウォレットへの過去の受信支払いは可視です。チェーンしか持たず端末アクセスがない場合は、いいえ——ステルス構造は健在です。

具体例：MoneroSwapper経由でXMRスワップを受け取る

具体性を持たせるため、典型的なノンカストディアル・スワップでXMRを受信したときにオンチェーン上で実際に何が起こるかを追ってみましょう。0.05 BTCをMoneroSwapper経由でXMRにスワップし、宛先として通常のMoneroアドレスを指定したと仮定します。外部観察者の視点から、何が見え、何が見えないかを順に見ていきます。

1. スワップを生成します。MoneroSwapperがBitcoinの入金アドレスを返し、あなたは0.05 BTCを送付します。このBTCトランザクションは、入金アドレスを含めてBitcoinチェーン上で完全に可視です。
2. スワップエンジンが提携取引所からXMR流動性を調達します。提携先のウォレットが、あなたのアドレスを受信者とするMoneroトランザクションを構築します。内部的には、ウォレットがあなたのビューキーと新規ランダムスカラーから使い捨てステルス出力を導出します。
3. Moneroトランザクションがチェーンに着地します。ブロックエクスプローラーで見えるのは、N個の入力（各々が16個のデコイで裏付けられたリング）、M個の出力、暗号化された金額、そして手数料です。出力公開鍵のいずれも、あなたが公開したアドレスとは一致しません。すべてステルス導出されたものです。
4. あなたのウォレットは、ビューキーでブロックを走査し、すべての出力に対してディフィー・ヘルマン計算を実行します。該当する出力一つに対して計算が成功し、ウォレットは支払いを認識します。暗号化された金額フィールドは正しいXMR値へと復号されます。
5. BTC入金アドレスを把握しており「対応するXMRトランザクション」を見つけようとする観察者には、同様の時刻枠で何らかのXMRトランザクションが発生したことしか見えません。どの出力があなたのものかは特定できず、金額も読めず、あなたが将来受信する別のXMR支払いと紐付けることもできません。

外部の調査員が試みうる相関は、タイミングだけです。「0.05 BTCの入金が14:02 UTCに提携取引所のアドレスに着金し、その後20分以内に起きた三件のMoneroトランザクションが、約0.05 BTC相当の金額に対応しうる」というレベルの推測です。Moneroの隠蔽金額、スワップエンジンのバッチ処理、そして毎時間数千件発生する同規模スワップによって、この弱い証拠はさらに崩れます。取引所側の協力がなければ、この紐付けは本格的な反論に耐えられません。

プロトコル間でのステルスアドレス比較

ステルスアドレスはMonero固有のものではなく、実装の違いが大きな意味を持ちます。同じ用語でも、プロトコルによって保証される安全性は大きく異なります。

プロトコル	ステルスアドレス方式	全トランザクションでの既定使用	実効的な受信者の連結不可能性
Monero	二鍵（ビュー＋スペンド）DH導出	必須——オプトアウト不可	強——既知の暗号攻撃なし
Ethereum（EIP-5564）	アナウンス契約付き単一一時鍵	不要——オプトイン、契約仲介	EOA走査コストとアナウンス契約の可観測性により弱体化
Bitcoin（BIP-352サイレントペイメント）	共有秘密による調整済み出力鍵	不要——オプトイン、送受双方の対応が必要	使用時は強——普及率の低さから実運用では弱い
Zcash（遮蔽プール）	多様化アドレス＋Sapling/Orchardノート	不要——遮蔽利用は任意	遮蔽プール内では強——プール境界では弱い

ここから読み取るべき教訓は、マーケティングページに「ステルスアドレス対応」と書かれていることと、「システム内のすべてのトランザクションがこれを使用する」ことは、まったく異なるという事実です。Moneroの優位性は構造そのものだけでなく、その普遍性にあります。透明な選択肢、オプトイン切替、攻撃者が悪用しうる遮蔽プールと透明プールの境界——いずれも存在しません。Moneroチェーン上のすべての出力はステルス出力であり、「これはステルス出力か」という属性に対する匿名性集合はチェーン全体の100%を占めます。

日本のユーザーが置かれている特殊な状況

日本に住むユーザーにとって、文脈はさらに複雑です。2018年、金融庁（FSA）からの規制圧力により、bitFlyerやCoincheckなどの国内登録取引所はMoneroをはじめとする主要プライバシーコインを完全に上場廃止しました。以降、日本居住者がXMRを取得する正規ルートは、国内KYC取引所には存在しません。その結果、日本のMoneroユーザーは事実上、海外取引所か非カストディアル型のスワップサービスのいずれかを利用せざるを得ない状態にあります。

この事情がプライバシー設計に与える影響は二重です。一方では、国内取引所を経由しないため、自動的に国内取引所側のKYCログという最大の漏洩経路から解放されます。他方では、海外取引所を利用する場合、しばしばより緩やかな本人確認手続きの代わりに、現地の規制環境次第で記録が外部機関と共有される可能性が残ります。MoneroSwapperのようなノンカストディアル・スワップは、入口（オンランプ）でも出口（オフランプ）でも本人確認を要求しないため、日本の文脈においては特に意味のある選択肢となります。資金経路の両端で身元情報を残さないことが、ステルスアドレスのプロトコル層保護と組み合わさり、初めて真に有効な匿名性スタックを形成するからです。

なお、日本の所得税法および国税庁のガイダンスは、暗号資産から得た所得の申告義務を依然として課しており、プライバシー技術の利用が納税義務を免除するものではない点には注意してください。プライバシーとは「税務当局から隠れる手段」ではなく、「自身の経済活動の詳細を全世界に対して開示しないための権利」を意味します。両者を混同すると、技術的にも法的にも誤った結論に至ります。

本当に重要な運用衛生

ここまで読んだ方は、ステルスアドレスが最も弱い鎖ではないことを理解されたでしょう。では、実際には何に注力すべきでしょうか。2026年のMoneroユーザーの匿名性を破る可能性が最も高い脅威を、頻度の高い順に挙げます。

• KYC取引所との紐付け：本人確認を要する場でオンランプまたはオフランプを行う場合、あなたの身元と引出アドレスが召喚状一通で相関付けられる可能性があります。これが問題となる文脈では、入口と出口の両方でMoneroSwapperのような非KYCスワップを使ってください。
• ノードレベルでのIP露出：クリアネット経由で公式ウォレットを使用すると、接続先のリモートノードに対してあなたのIPが漏れます。ローカルノードを運用するか、TorまたはI2P経由で接続するか、信頼できるリモートノード運用者を利用してください。
• チェーン横断のタイミング相関：スワップ直後にすぐ送金すると、タイミング指紋は小さいながらも実在します。資金を寝かせる、活動をまとめて行うといった工夫が、相関を弱める助けになります。
• ビューキー衛生：すでに述べたとおり、ビューキーは機密として扱ってください。素性不明なウェブツールに貼り付けてはいけません。
• ウォレットソフトウェアへの信頼：Feather Wallet、公式GUI/CLI、または公式配布元のCake Walletを使用してください。素性の不明なフォークは避けるべきです。過去三年間、トロイの木馬化されたMoneroウォレットの事例が複数報告されています。
• 社会的層でのアドレス再利用：同じメインアドレスをSNS、寄付ページ、フォーラムに貼り続けても、オンチェーン層でのステルスプライバシーは破壊されません。しかし、ある身元を知る調査員が、そのアドレスを掲載したすべての場所と相関付けられるようになります。

よくある質問

ブロックエクスプローラーはステルスアドレスの所有者を明かせますか

明かせません。ブロックエクスプローラーはチェーン上に記載されたとおりにステルス出力の公開鍵を表示しますが、これらの鍵は受信者のメインアドレスから数学的に切り離されています。ビューキーを持たない限り、xmrchain.netであれ、Moneroプロジェクト自身のエクスプローラーであれ、いかなるチェーン分析ダッシュボードであれ、出力をウォレットに帰属させることはできません。それができると主張するツールは、混同しているか、マーケティング上の誇張か、別途入手したオフチェーン情報に依存しているかのいずれかです。

Moneroアドレスを公開すると、残高を見られますか

見られません。メインのMoneroアドレスを共有することで他人があなたに送金できるようになりますが、それ自体は誰にも——ビューキーがなければ自分自身にすら——ブロックエクスプローラー上で受信履歴を見せません。これがステルスアドレスの根本的な非対称性です。BitcoinやEthereumでアドレスをエクスプローラーに貼ると即座に残高と全履歴が露出するのとは対照的です。

ステルスアドレスは耐量子性を持ちますか

単独では持ちません。ステルス出力の生成に用いられるディフィー・ヘルマン導出は、Ed25519曲線上の離散対数問題に依存しており、十分に強力な量子コンピュータが解読しうる対象です。Moneroの研究コミュニティはSeraphisおよびJamtisロードマップの一環として耐量子移行に積極的に取り組んでいますが、実用的な量子攻撃の到来は数十年単位の懸念事項です。2026年の脅威モデルにおいて、ここがあなたが心配すべき層ではありません。

閲覧専用監査の存在は、ステルスアドレスを無意味にしませんか

無意味にはせず、柔軟にします。監査は受信者が自らの意思でビューキーを監査人と共有することを前提とします。既定では、ウォレットの所有者以外、受信出力を走査できる者は誰もいません。正当な会計目的のために閲覧専用の透明性をオプトインできるという事実は、プライバシー上の穴ではなく機能です。選択権が完全に受信者の側に存在するからです。

2026年にFCMP++が有効化されたら、ステルスアドレスは引き続き使われますか

はい。FCMP++が置き換えるのは送信側のリング署名匿名性集合であり、受信側のステルスアドレス構造は変更されません。FCMP++移行後も、すべてのMoneroトランザクションは受信者のビューキーから使い捨て出力を導出し続け、送信側の匿名性は「16のうち1」から「チェーン全体のうち1」へと改善されます。両者の保護は重なり合い、ステルスアドレスは引き続き受信者の連結不可能性を担い続けます。

チェーン分析は二つのステルス出力を同一ウォレットに紐付けられますか

オンチェーンのデータだけからは紐付けられません。同一受信者に支払われた二つのステルス出力は、ビューキーを持たない観察者には数学的に独立に見えます。学術文献に記載された連結攻撃は、送信側のリング署名の弱点を狙ったもの、あるいは取引所記録やIPログといったオフチェーンのサイドチャネルを必要とするものであり、ステルスアドレス構造そのものを対象としたものはありません。

結論

では、ステルスアドレスは追跡可能なのでしょうか。この問いが通常意味する狭い技術的意味——外部観察者がチェーンを読むことで複数の支払いを単一の受信者に紐付けられるか——においては、答えは確信を持って「否」です。この構造は2014年から本番運用されており、十数年に及ぶ学術的および敵対的精査を生き延び、2026年においても無傷のまま機能しています。誠実に付すべき注意点は、ビューキーが漏洩あるいは押収された場合に過去の受信履歴が遡及的に露出すること、そして受信者プライバシーが本気で取り組むべき複数の層のうちの一つに過ぎないことです。送信側プライバシーはリング署名（そして近くFCMP++）が、金額プライバシーはRingCTとBulletproofs+が、ネットワークプライバシーはDandelion++とTorが、そして身元プライバシーは取引所や複数端末をまたぐあなた自身の運用規律が担います。次のチェーン分析報告書に身元情報を提供せずにXMRを出入りさせたいのなら、MoneroSwapperは入口と出口の両端でKYC紐付けを残さないノンカストディアルな経路を提供します。これとプロトコル層のステルスアドレス保護を組み合わせることで、2026年現在、公的に文書化されたいかなる匿名性破壊技術も突破を示せていないプライバシースタックを手にすることになります。