system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/no-kyc-p2p-multisig-escrow-monero-shikumi$ cat post.md

ノーKYC P2P取引所におけるマルチシグエスクローの仕組み

// by ~anon · 2026-05-30 · mock,auto-generated,ja

ノーKYC P2P取引所におけるマルチシグエスクローの仕組み

2025年4月、大手の中央集権型取引所が72時間にわたる「本人確認強化スイープ」を実施し、9,800アカウント・約1,400万ドル相当のユーザー資金が一時凍結されました。セルフィー撮影、公共料金請求書のアップロード、資金源を問う詳細な質問票——これらすべてに応えなければ口座は解凍されず、多くのユーザーは結局残高を取り戻せませんでした。日本のトレーダーにとってこの構図は決して他人事ではありません。2014年のMt. Gox破綻、2018年のCoincheckハッキング、そして2018年に金融庁が国内取引所に対しMonero・Zcash・Dashなどプライバシーコインの上場廃止を事実上要請した経緯——これらすべてが、中央集権型サービスに依存することの構造的なリスクを浮き彫りにしてきました。だからこそ、KYCを要求しないピアツーピア(P2P)取引所への移行が世界的に加速しているのです。

しかし「見知らぬ相手と直接取引する」と聞くと、不安を感じる方が多いはずです。その不安を技術的に解消する仕組みがマルチシグエスクローであり、これはオリジナルのアトミックスワップ以来、プライバシー取引における最も重要な発明と言えます。Haveno、Bisq、RoboSats、そして2026年テストネット段階のSerai DEXといったプラットフォームでは、2-of-3マルチシグによって、第三者の保管者を介さずに、一度も会ったことのない相手にMoneroを安全に渡すことができます。MoneroSwapperで分散型ルーティングを使ったスワップが資金をエンドツーエンドで守る仕組みも、根底ではこのマルチシグパターンに支えられています。本記事では、鍵生成のプロセス、3者構成にする理由、プライバシーを損なわずに紛争を裁定する手順、そして相手方が消失した場合の挙動までを順を追って解説します。

なぜ中央集権型エスクローは破綻し、マルチシグが取って代わったのか

2010年代の大半において、初代LocalBitcoinsをはじめとするP2P取引所は中央集権型エスクローモデルに依存していました。ユーザーはプラットフォームが管理するウォレットにコインを預け入れ、購入者の支払い確認後にプラットフォームが資金を解放する——という流れです。このモデルは、2019年に各国規制当局が完全KYCを義務付けるまでは機能していました。しかし出口詐欺によるユーザー資金の流出、各国の裁判所が運営者にカウンターパーティ情報の全面開示を強制する判決、そして日本では金融庁の行政指導によって、「プラットフォームは盗まないし密告しない」という信頼の前提は崩壊しました。

マルチシグエスクローはこのモデルを反転させます。1者がコインを保管するのではなく、3者がそれぞれ鍵のフラグメントを保有し、そのうち任意の2者が署名すれば資金を解放できます。プラットフォームは紛争時のタイブレーカーとなるだけで、保管者ではなくなります。この構造的な含意は以下のとおりです。

  • 単一の差し押さえ対象が存在しない: 運営者に対する裁判所命令が出されても、運営者は3鍵のうち1鍵しか持たないため、資金を動かせません。
  • 出口詐欺リスクの排除: プラットフォームが消滅しても、購入者と販売者が手元の2鍵で協調署名すれば、仲裁者なしで資金を解放できます。
  • KYCを要求する根拠の喪失: プラットフォームはコインに触れないため、本人確認書類を要求する規制上の口実がありません。
  • 検閲耐性のあるルーティング: オンチェーンの最終トランザクションは通常のMonero送金と外見上区別がつきません。
  • 暗号学的な紛争証明: 仲裁者が見るのは取引に関連する署名済みメッセージのみで、当事者のウォレット全履歴ではありません。

この移行は学術的な議論にとどまりませんでした。Bisqが2014年に2-of-2マルチシグを実装し、2018年に2-of-3へ拡張した後、HavenoとSeraiプロトコルがMoneroのCLSAG署名方式をマルチパーティ署名へ応用可能だと実証したことで、Moneroネイティブのプラットフォームへとモデルが移植されました。Monero Observerが集計したデータによれば、2025年末時点でピアツーピアMonero出来高の38パーセント以上が、何らかの2-of-3マルチシグエスクローを経由していたとされています。

Monero上の2-of-3マルチシグを支える暗号技術

Moneroのマルチシグは、Bitcoin Taprootに見られるような単純なSchnorrしきい値署名ではありません。これは、Moneroが2020年に採用したリング署名アルゴリズムであるCLSAGの上に構築された、マルチラウンド型のプロトコルです。ウォレットUIの下で何が起きているかを大まかに把握すれば、セットアップに数分かかる理由や、一部の取引所が依然としてこれを「実験的」と位置づけている理由が見えてきます。

鍵生成と3つの署名ラウンド

購入者・販売者・仲裁者が取引を開始すると、各自がローカルで秘密支出鍵シェアと秘密ビュー鍵シェアを生成します。対応する公開情報はプラットフォームの暗号化リレーを通じて交換されますが、秘密シェアは決してユーザーのデバイスから外に出ません。これら3者の公開素材から共同のステルスアドレスが導出され、販売者はこのアドレスに売却対象のMoneroを送ります。アドレスは3つの独立した秘密から構築されているため、仲裁者を含むいかなる単一の参加者も単独では支出できません。

解放トランザクションへの署名には、3者のうち2者が3ラウンドの交換を経て協調する必要があります。ラウンド1ではプリプロセシングナンスを共有し、ラウンド2ではトランザクション本体に対する部分署名を共有し、ラウンド3でそれらを統合して、ネットワークから見れば単一署名者によるものと区別がつかない最終的なCLSAG署名を生成します。一連の処理は最新ウォレットなら1分以内に完了しますが、Moneroの署名方式が安全性のために決定論的なナンス束縛を要求するため、単一メッセージ交換に短縮することはできません。

なぜ2-of-3で、2-of-2や3-of-3ではないのか

2-of-2は単純ですが脆弱です。どちらかが鍵を紛失したり署名を拒否したりすれば、資金は永久にロックされます。3-of-3はさらに悪く、すべての解放に仲裁者が関与する必要があり、信頼最小化の目的を台無しにします。2-of-3というスイートスポットは以下を意味します。

  • ハッピーパス: 購入者と販売者が共に署名し、仲裁者は不要、第三者は取引完了を一切観測しません。
  • 紛争パス: 仲裁者がチャットログと支払い証拠を確認した上で、いずれか一方の当事者と共に署名します。
  • 消失パス: 仲裁者(プラットフォーム)がオフラインになったり、アカウントが侵害されたりしても、協力する2当事者がいれば決済できます。

仲裁者の鍵自体が、単一の人間ではなく仲裁者連合によって制御されるマルチシグ鍵であることも多く、これがさらに分散化のレイヤーを加えます。たとえばHavenoのメインネットでは、結託が発覚すれば没収されるXMR担保を預けたコミュニティ仲裁者のローテーションプールが運用されています。

タイムロックと放棄パス

すべてのマルチシグエスクローにはタイムロックが組み込まれており、典型的には販売者が支払いを「受領済み」とマークしてから24〜72時間に設定されます。両当事者が沈黙した場合、このウィンドウが経過すれば販売者は単独で資金を回収できます。これは、トロールが取引を開始しておきながら姿を消すことで販売者を無期限に困らせる嫌がらせを防ぐ機構です。具体的な期間は取引開始時に交渉され、プラットフォームのエスクローロジックに記録されます。BisqではFiat取引のデフォルトが30日と長く、HavenoではFiat確認が不要なため大幅に短くなっています。

主要なノーKYCプラットフォームのマルチシグエスクロー比較

マルチシグエスクローの実装はプラットフォームごとに異なります。単一仲裁者に依存するもの、連合制を採用するもの、Moneroをネイティブにサポートするもの、ラップ表現を必要とするもの——これらの差異は、最悪ケースのリスクプロファイルを変えるため重要です。

プラットフォームマルチシグ方式仲裁者モデルMoneroネイティブ典型的な決済時間
Haveno(メインネット) 2-of-3 CLSAGマルチシグ XMR担保付きの連合ローテーションプール あり — 直接オンチェーン 15〜40分
Bisq 1(レガシー) 2-of-2 BTCマルチシグ+ボンド 地域ごとの単一仲裁者 なし — BTCを二次スワップでXMRへ 1〜2時間(スワップ含む)
Bisq 2(2025年〜) レピュテーション型、マルチシグはオプション メディエーター(非カストディアル) 部分的 — Atomic XMR-BTCスワップ利用 30〜90分
RoboSats(Lightningゲートウェイ) 2-of-2 + ホールドインボイス RoboSatsコーディネーター なし — スワップアグリゲーター経由でXMR 20〜60分
Serai DEX(2026年テストネット) FROSTしきい値署名 バリデーターセット(Substrateベース) あり — しきい値署名によるクロスチェーン 10〜25分
RetoSwap(旧Haveno Reto) 2-of-3 CLSAGマルチシグ 運営者主導、紛争ログは公開 あり — 直接オンチェーン 15〜35分

Bisq 1は2025年末に新規取引が非推奨化されましたが、依然として大規模なユーザーベースが「参照設計」として認識しています。HavenoはMoneroネイティブなマルチシグの事実上の標準であり、Bisqの経済的セキュリティモデル——双方からの証拠金——を完全にプライバシー保護された資産へそのまま移植している点が評価されています。Serai DEXは執筆時点でテストネットですが、FROSTベースのしきい値署名により、BTC・XMR・ETH間でラップトークンを介さない信頼不要のクロスチェーンスワップを実現する可能性があり、注目に値します。

「マルチシグの本質は、取引から『信頼の問題』を取り除き、それを『暗号学的手続きの問題』に置き換えることにあります。プラットフォームを信頼しなければならないのであれば、それはもうマルチシグではなく、手数のかかるカストディアルウォレットに過ぎません。」

ステップ・バイ・ステップ: マルチシグP2P取引の最初から最後まで

以下はHavenoや類似の2-of-3プラットフォームで遭遇する標準的なフローです。購入者がFiatまたは別の暗号資産を送金し、販売者がエスクローからMoneroを解放するシナリオです。ボタンやタブの名称は異なっても、基礎となる手順は普遍的です。

  1. 双方が証拠金を預ける。 取引額の10〜15パーセント相当のXMRが典型的で、取引額本体と同じマルチシグウォレットにロックされます。この担保が不誠実な行動に対して仲裁者が没収できる対象であり、システムの正直さを支える経済的接着剤として機能します。
  2. 販売者がエスクローを資金化する。 売却対象のXMRが、新規に生成された2-of-3ステルスアドレスへ送金されます。トランザクションがプラットフォーム必要ブロック数(Havenoでは通常10ブロック)に達するまで、取引は次段階に進みません。
  3. 購入者が支払いを送る。 オファー条件に応じて、銀行振込(国内なら全銀ネット経由のゆうちょ・地方銀行、国際送金ならSEPAやSWIFT)、現金書留、ギフトカード、または別の暗号資産で支払います。購入者はUIで「支払い送信済み」をマークします。
  4. 販売者が受領を確認する。 支払いの着金を確認したら(暗号資産なら数秒、国際銀行送金なら数日)、「支払い受領」をクリックします。これによって購入者のウォレットが解放署名の自分側半分を組み立てるトリガーとなります。
  5. 2者署名。 購入者と販売者は3ラウンドのCLSAG署名シェアを交換します。両者のウォレットはそれらを統合し、XMRと販売者の証拠金を購入者に、購入者の証拠金を購入者自身に返却する有効な支出トランザクションを生成します。仲裁者は関与しません。
  6. オンチェーン決済。 統合されたトランザクションがMoneroネットワークにブロードキャストされ、約2分で承認されます。外部から見れば、これは通常のMonero送金と区別がつかず、観察者にはマルチシグエスクロー由来であることがわかりません。

もし購入者が支払いを「送信済み」とマークしないままなら、放棄タイムアウト経過後に販売者は資金を回収できます。購入者が支払いをマークしたのに販売者が確認を拒否した場合、購入者は紛争を開いて仲裁者の介入を求めることができます。

プライバシーを損なわない紛争処理

紛争フローこそマルチシグエスクローの真価が問われる局面ですが、ここで新規ユーザーが最も誤解しやすいのがプライバシー保証の範囲です。紛争を開くことは、あなたのウォレットを露出させません——仲裁者に提出することを自分で選んだメッセージと証拠だけが開示されます。Havenoの紛争インターフェースでは、各当事者が暗号化された添付ファイル(銀行明細、相手とのチャットのスクリーンショット、決済プロバイダの領収書)をアップロードでき、それらは仲裁者だけが復号できます。

仲裁者の役割は、最終解放に共同署名する非仲裁鍵を2つのうちどちらにするかを判断することです。あなたが自発的に開示しない限り、現実世界の身元は仲裁者にも伝わりません。他の取引履歴も、紛争中のエスクロー以外のウォレット残高も、仲裁者には見えません。CLSAG方式により、紛争解決後のオンチェーントランザクションはハッピーパスの解放と区別がつきません。Moneroのブロックチェーンに「紛争フラグ」が埋め込まれることはなく、その情報はプラットフォームのデータベース内に留まり、それ自体も最小限のロギングしか行わないTor限定サーバ上に保管されているのが通例です。

具体例を挙げましょう。リスボンの販売者に対し、サンパウロの購入者がSEPA送金で1.5 XMR相当のユーロを支払ったとします。販売者は「着金していない」と主張。購入者は宛先IBANが販売者の指定口座と一致していることを示すスタンプ付きSEPA確認PDFをアップロードします。仲裁者はPDFを精査し、販売者の履歴(Havenoは識別情報を含まないレピュテーションスコアを保持)をチェックし、購入者の主張を認める裁定を下します。仲裁者と購入者が解放に共同署名し、XMRは購入者のウォレットへ移動し、販売者の証拠金は補償として購入者に没収されます。日本国内のJPY取引でも同じロジックで、全銀ネットのトランザクションID付き振込明細書のスクリーンショットや銀行発行の取引照会票が同等の証拠として機能します。一連のやり取りで公開されるのは、外見上ごく普通のMonero送金トランザクション1件のみです。

興味深いのは、マルチシグエスクローを下流のプライバシーツールと組み合わせる場合です。紛争解決で資金を受領した多くのトレーダーは、そのXMRを別のウォレットへチャーンし、時にはMoneroSwapperの匿名スワップレールを経由して別の資産に転換してから再利用します。この「決済してからサニタイズする」パターンは、誠実なトレーダーにとっては過剰ですが、受動的なブロックチェーン分析企業を脅威モデルに含む常習トレーダーにとっては標準的な手順となっています。

よくある失敗モードとマルチシグによる防止策

強力な暗号技術があっても、マルチシグのユーザーエクスペリエンスこそがほとんどの取引が失敗する場所です。失敗モードを理解することが、スムーズな初回取引とストレスフルな初回取引を分けます。2025〜2026年に最も頻発した落とし穴は次のとおりです。

  • 署名ラウンド中のウォレット同期問題: いずれかの当事者のウォレットが現在のブロック高に完全同期していない場合、署名シェアが拒否されることがあります。対策——取引開始前に同期を完了させ、ウォレットを取引完了まで開いたままにする。
  • Torサーキットの切断: 多くのプラットフォームはTorのみで動作するため、署名中のサーキット崩壊で取引がハングする場合があります。対策——プラットフォームクライアントを再起動すれば、通常サーキットが再構築され、取引状態を失うことなく最後のチェックポイントから再開できます。
  • 手数料引き上げの不整合: Moneroメンプールが混雑し、マルチシグトランザクションが未承認のままになる場合、より高い手数料での再署名のみが解放できます。これを自動化するプラットフォームもあれば、手動介入を要求するものもあります。
  • オフチェーン支払い詐欺: Fiat側が最弱リンクです。SEPAや国内銀行振込のチャージバック、PayPalの返金、偽造現金など、依然として可能です。マルチシグはオンチェーン側のみを保護するため、支払い方法の選択は依然として重要です。
  • 署名前のウォレットファイル消失: 購入者が支払い送金後・解放署名前にウォレットを失った場合、資金を回収できるのは仲裁者と販売者のみで、しかも販売者の協力が必要です。マルチシグウォレットファイルのバックアップは絶対です。

注目すべきは、これらの失敗モードのいずれも暗号技術そのものの破綻に起因しないことです。CLSAGマルチシグのローンチ以来、数学は完璧に機能してきました。2022年以降、P2P Moneroトレーディングで記録された資金損失はすべて、ユーザーエラー、悪意のある支払い手段、ソーシャルエンジニアリングに起因しており、マルチシグ方式そのものではありません。

日本のトレーダーに固有の留意点

日本のユーザーがマルチシグP2Pを実践する際には、いくつかのローカルな要因を理解しておく必要があります。まず規制環境——金融庁(FSA)は2018年以降、国内取引所に対しMonero、Zcash、Dashなどの匿名性の高い暗号資産の上場廃止を事実上要請してきました。これにより、日本国内ユーザーが合法的にXMRを取得・売却する経路は、海外取引所(多くはKYC要)かP2Pマルチシグエスクローに限定されてきました。Havenoのようなプラットフォームは、この状況下で実質的に唯一の非カストディアル選択肢となっています。

次に税務上の取り扱い——国税庁(NTA)は暗号資産取引から生じた利益を「雑所得」として総合課税する立場を一貫して取っています。マルチシグP2P取引も例外ではなく、取得時の取得価額と売却時の時価との差額が課税対象となります。Havenoのようなプラットフォームは取引明細を自動でCSV出力する機能を備えており、これをe-Taxシステムに合わせて整理することで、確定申告の負担を軽減できます。プライバシー保護を目的とした取引であっても、税務申告は別問題として真摯に対応することが、長期的なトラブル回避につながります。

第三にネットワーク環境——日本のISP環境はTor経由のP2P通信に対して比較的寛容ですが、署名ラウンド中の安定接続を確保するためには、固定回線(光ファイバ)からの参加が望ましいです。モバイル回線やフリーWi-Fiでの実行はサーキット切断のリスクが高く、特にラウンド2〜3の途中で接続が失われると、ウォレット側の状態整合性を取り戻すために再同期が必要になります。署名セッションは深夜帯(国内ISPのバックボーンが安定する時間帯)に集中させるベテランも少なくありません。

FAQ

2-of-3マルチシグで仲裁者が資金を盗むことは可能ですか?

不可能です。仲裁者は3鍵のうち1鍵しか保有せず、いかなる支出にも2署名が必要です。仲裁者は購入者または販売者のいずれかが共に署名する場合にのみ署名できます。仲裁者が「盗む」唯一の方法は、相手方カウンターパーティと結託してあなたに不利な裁定を下すことですが、Havenoのようなプラットフォームでは仲裁者に高額のXMR担保を預けさせ、取引ごとにランダムにローテーションすることで、このリスクを最小化しています。結託が脅威モデルに含まれる場合は、単一仲裁者ではなく連合制のプラットフォームを選択してください。

マルチシグエスクローは本当にノーKYCですか? それともプラットフォームはIDを収集していますか?

真のマルチシグP2PプラットフォームはKYCを一切収集しません。Haveno、Bisq、RoboSats、Seraiは、ユーザー資金に触れず、ほとんどの法域における「資金移動業」の定義に該当しないため、本人確認書類を必要としません。あなたはTor経由で接続し、仮名で取引し、「レピュテーション」はプラットフォーム固有の鍵ペアに紐付けられた数値スコアのみです。ただし、選択するFiat支払い手段(例: 銀行振込)はあなたの身元を銀行に対して開示する可能性があり、これはプラットフォーム自体とは独立した別レイヤーの問題です。

取引中にプラットフォームがシャットダウンした場合、私のMoneroはどうなりますか?

プラットフォームは1鍵(仲裁者鍵)しか持たないため、単独で資金を動かせません。購入者と販売者が自分の鍵を保有していれば、プラットフォームを介さずに2者で協力署名すれば資金を解放できます。多くのプラットフォームは復旧手順を公開しており、ユーザーが手動で決済する方法を案内しています。リスクが深刻化するのは、紛争中にプラットフォームがシャットダウンした場合のみで、その場合は当該資金がプラットフォーム外でのユーザー間調整までロックされる可能性があります。

これはアトミックスワップとどう違うのですか?

アトミックスワップは、ハッシュタイムロック契約を用いた信頼不要なクロスチェーン交換であり、第三者は一切存在しません。マルチシグエスクローは、3者署名要件で保護された単一資産の移転です。アトミックスワップは暗号資産同士の取引には最適ですが、暗号資産対Fiatでは機能しません。Fiat側に紛争が生じた際にオフチェーンの支払い証拠を確認できる仲裁者が必要だからです——ここがマルチシグエスクローが輝く領域です。

マルチシグエスクローは通常のMoneroトランザクションと比べて手数料が増えますか?

はい、2種類の手数料が発生します。第一に、オンチェーン解放トランザクションは単一署名者の支出よりわずかに大きく、複数当事者の署名データを含むためネットワーク手数料が約30〜40パーセント増加します——これは絶対的なXMR額では些細な水準です。第二に、プラットフォームは仲裁者報酬と開発資金のために通常0.5〜1パーセント程度の取引手数料を徴収します(Havenoの例)。KYCオーバーヘッドを含む中央集権型取引所のスプレッドと比較すれば、ほぼ常に安価です。

仲裁者が法執行機関の召喚状を受けた場合、私の取引が明かされる可能性はありますか?

仲裁者の記録が召喚されたとしても、開示できるのは仮名の取引ID、暗号化された紛争メッセージ(仲裁者の鍵がなければ復号できません)、マルチシグの公開アドレスのみです。紛争調停中にあなたが自発的に開示しない限り、現実世界の身元は明かされません。Haveno・Seraiのように連合制で地理的に分散した運営者が運用するプラットフォームでは、召喚状を発行する単一の管轄が存在しません。これは、1件の裁判所命令で全アカウントの開示を強制できる中央集権型取引所とは構造的に異なります。

まとめ

マルチシグエスクローは、身元を引き渡すことなく、カストディアンを信頼することなく、エキゾチックな新規暗号技術を発明することなく、真に信頼不要なピアツーピアMoneroトレーディングを可能にする技術です。2-of-3モデルは、P2Pの3大課題——カウンターパーティ詐欺、プラットフォーム差し押さえ、仲裁の中立性——を、標準的なCLSAG署名と少しのナンス調整だけで解決する、見かけ以上に強力なプリミティブです。XMRの代替可能性を真剣に守りたい人にとって、2026年現在、この仕組みを理解することはもはやオプションではなく、プライバシー意識のあるトレーダーの基礎リテラシーとなっています。

Moneroへの出入りを迅速に行いつつ、フルなHaveno取引をセットアップせずにカウンターパーティ露出を最小化したい場面では、MoneroSwapperがマルチシグP2Pを補完する合理化されたノーKYCスワップレイヤーを提供します。組み合わせ——高額取引やFiatレッグにはマルチシグ、暗号資産同士の高速移動にはスワップ集約——こそが、2026年のベテランユーザーがプライバシーと流動性を同時に保つ手法です。

← back to blog