ステルスアドレスとは?Moneroで学ぶ匿名送金の仕組み
ステルスアドレスとは?Moneroで学ぶ匿名送金の仕組み
Bitcoinのアドレスをブロックエクスプローラに貼り付けた瞬間、自分の入出金履歴がそのまま他人のダッシュボード上に並んでしまった経験のある方は、ステルスアドレスが解こうとしている問題をすでに肌で理解しています。2025年末の時点でオンチェーン分析企業は12億件を超えるクラスタリング済みウォレットを公開的に追跡しており、フラグの立ったアドレスから「2ホップ以内」に位置する入金は国内外の取引所で日常的に凍結対象となっています。ステルスアドレスはこの連鎖を断ち切る技術で、受取人のオンチェーン上の宛先を一回限り・リンク不可能なものに置き換えてしまいます。送金者が知っているのは受取人の長期的な公開ID一つだけにもかかわらず、ブロックチェーンに記録される実際の宛先は毎回完全に異なる点になるのです。本稿ではこの仕組みが実際にどう動き、どこで効力を発揮し、どこで破綻するのか、そしてなぜMoneroがすべての取引でステルスアドレスを必須としたのかを順を追って解説します。例としてMoneroを取り上げるのは、ステルスアドレスを既定で強制している主要チェーンが現状Moneroしか存在しないためですが、同じプリミティブはEthereumのERC-5564ドラフト、Zcashのdiversified payment address、そしてUmbraのようなプライバシーアドオンにも姿を現しています。最後に、MoneroSwapperがこのステルスアドレスの仕組みをどのように利用し、KYC不要のスワップを入口から出口までリンク不可能に保っているのかを紹介します。
なぜブロックチェーンのアドレスはここまで情報を漏らすのか
パブリックブロックチェーンは、そもそも監査可能であることを目的に設計されました。すべての取引はネットワーク全体にブロードキャストされ、すべての残高は誰でも計算でき、すべてのアドレスは永続的なラベルとして残り続けます。雇用主であれ、家主であれ、チェーン分析ベンダーであれ、敵対的な国家機関であれ、過去にさかのぼって自由に走査できる構造になっているわけです。一つの受取アドレスを五人と共有すれば、その五人全員が他の四人の送金額、あなたの現時点の残高、その後どこにお金を動かしたかを丸ごと観察できます。これはBitcoinやEthereumのバグではなく、明示的な設計思想です。
プライバシー業界はこの透明な土台の上に「不透明さ」を後付けで載せるために十年以上を費やしてきました。ミキサー、CoinJoinコーディネータ、レイヤー2ロールアップ、ゼロ知識のシールドプール——これらはどれも、送信者・受信者・金額の決定的な結びつきを事後的に壊そうとする試みです。これに対しステルスアドレスは異なる戦略を取ります。事後的にリンクを隠すのではなく、台帳に記録される宛先がそもそも受取人の公開アドレスとは別物になるよう設計するのです。
- アドレスクラスタリング: 共通入力所有(common-input ownership)やお釣りアドレスの推定といったヒューリスティクスにより、取引が確定してから数分のうちに数千ものUTXOが一つの行動プロファイルとして束ねられます。
- クロスチェーンの漏洩: ブリッジや中央集権型スワップサービスは、A鎖の入金アドレスとB鎖の引き出しアドレスの対応をログに残します。各チェーンを単独で見ても匿名性が保たれているように見えても、両者をつなぐドシエが残り続けるわけです。
- 使い回しアドレスの可視化: 個人サイト、X(旧Twitter)のプロフィール欄、GitHubのREADMEに張られた寄付アドレスは、半永久的なハニーポットになります。そこに送られたすべての入金と、そこから出ていったすべての送金が、未来永劫その身元に紐づくことになります。
- 記憶の長さ: 七年で消えるクレジットカードの明細とは違い、ブロックチェーンは永久に覚えています。2017年の決済は、確定した当日と同じ鮮明さで2026年からも読めてしまうのです。
ステルスアドレスは、レガシーチェーンのこれらの問題すべてを消し去るわけではありません。しかし最も致命的な一つ——「受取アドレスそのものが恒久的な識別子になる」という性質——を、暗号学的にリンク不可能な使い捨ての成果物に置き換えてくれます。
ステルスアドレスは実際どう動いているのか
この発想の原型は2012年にBytecoin開発者たちによってスケッチされ、Nicolas van SaberhagenのCryptoNoteホワイトペーパーで定式化され、2014年以降のMoneroで磨き上げられました。現代のステルスアドレスは楕円曲線暗号にDiffie-Hellman鍵交換を巧みに組み合わせ、送信者だけが計算できる一回限りの公開鍵を生成し、それを受信者——他の誰でもない——だけが回収できるようにしています。
あなたが目にしない三つの鍵
Moneroのアカウントには秘密鍵が一つではなく三つあります。送金を署名する秘密スペンド鍵、入金をスキャンする秘密ビュー鍵、そして対応する公開スペンド鍵と公開ビュー鍵を束ねた公開アドレスです。誰かに自分のMoneroアドレスを渡すとき、あなたは実際にはed25519曲線上の二つの公開点に加え、ネットワークバイトとチェックサムをbase58でエンコードした、おなじみの「4」または「8」で始まる95文字の文字列を手渡しているのです。
秘密スペンド鍵はまさに王冠の宝石——すべての出金を承認する権限を握ります。一方、秘密ビュー鍵は意図的に弱い秘密です。入金を観察できますが、それを使うことはできません。この非対称性のおかげで、会計士、監査人、あるいはスマートフォン上のウォッチオンリーウォレットにビュー鍵だけを渡し、出金権限は手元に残すといった運用が可能になります。この使い分けの柔軟さこそが、ステルスアドレスを純粋な学術構成物ではなく日常的に使える道具にしている要素です。
一回の支払いの内部で起きていること
アリスがボブに支払うとき、アリスのウォレットはボブの公開アドレスを単純にハッシュして取引に書き込むわけではありません。代わりに、トランザクション秘密鍵と呼ばれる新しい乱数を生成し、それをボブの公開ビュー鍵と組み合わせて楕円曲線Diffie-Hellmanによる共有秘密を導出します。その共有秘密をハッシュしてボブの公開スペンド鍵に加算すると、この一回の取引にしか存在しない真新しい公開鍵が出来上がります。アリスはこの一回限りの公開鍵を出力先として書き込み、対応するトランザクション公開鍵を取引のextraフィールドに添えてブロードキャストします。ボブはこの値を使って自分の側で同じ共有秘密を再構成できるわけです。
ネットワーク上の第三者から見ると、出力は「ボブに送られた」と分かる手掛かりのない、無作為な楕円曲線上の点にしか見えません。仮にアリスが同じ晩に同じウォレットからボブに百回送金したとしても、生成される百個の出力はすべて互いに無関係な別アドレスに着地します。ブロックチェーンの履歴は次々と新しい鍵への送金の列になっていて、外部観察者がそれらを一つの受信者に束ね上げる手段はありません。
受取人はどうやって自分のお金を見つけるのか
初めて聞くと驚かれる部分はここです。ボブのウォレットは、自分宛ての出力を見つけるためにチェーン上のすべてのトランザクションをスキャンしなければなりません。各トランザクションについて、ボブのウォレットはブロードキャストされたトランザクション公開鍵を取得し、それに自分の秘密ビュー鍵を掛け、その結果をハッシュして、取引内の出力先と照合します。一致するものがあれば、その出力が自分宛てだと分かり、対応する一回限りの秘密鍵を計算します——この最終ステップは秘密スペンド鍵を持っているボブにしか実行できません。
ステルスアドレスはブロックチェーンを巨大な藁山に変える技術である。針はそこらじゅうに刺さっているが、磁石の形を知っている本人以外、誰にも見えない。
このスキャン作業の重さがリンク不可能性の代償です。だからこそビュー鍵サーバ、軽量ウォレットデーモン、そして来たるべきFCMP++証明システムが重要になります。それらがなければ、一日およそ720ブロックずつ成長するチェーンを、モバイル端末や組み込みウォレットがフルダウンロードなしに確認することは現実的ではないのです。
他のプライバシー技術との比較
ステルスアドレスはプライバシースタック全体の一要素にすぎません。受信者は隠せますが、それ単独では送信者も金額も隠せません。実運用上のプライバシーシステムはステルスアドレスを、送信者を隠すリング署名、金額を隠す秘匿取引またはBulletproofs+、そしてIPを隠すDandelion++やTorといったネットワーク層の保護と組み合わせて使います。主要なアプローチを並べると、それぞれが具体的に何を買ってくれているのかが見えてきます。
| プライバシー手法 | 受信者を隠す? | 送信者を隠す? | 金額を隠す? | 既定で有効? |
|---|---|---|---|---|
| Bitcoin 再利用アドレス | いいえ | いいえ | いいえ | 該当なし |
| Bitcoin HDウォレット(BIP-32) | 部分的(支払ごとのアドレス) | いいえ | いいえ | はい、現代のウォレットでは |
| CoinJoin (Wasabi, JoinMarket) | いいえ | 集合的匿名性 | いいえ(等額出力設計) | いいえ、ラウンド毎に明示的に参加 |
| Zcash シールドアドレス | はい (zk-SNARK) | はい | はい | いいえ、シールドプール任意 |
| Monero ステルスアドレス + RingCT | はい | はい (リング署名) | はい (RingCT) | はい、全取引で強制 |
| Ethereum ERC-5564 (ドラフト) | はい | いいえ | いいえ | いいえ、オプトイン規格 |
「既定で有効か」の列は多くの人が過小評価する論点です。プライバシーが任意設定であるとき、それを有効にすること自体が目立つフラグになります。Zcashで透明プールとシールドプールの間の出入りが起こると、その移動はオンチェーンで丸見えになり、チェーン分析企業はその瞬間を狙って監視しています。Moneroが全取引でステルスアドレス、リング署名、RingCTを強制している意味は、「プライベートな選択」が浮き上がる基準としての透明な土台そのものが存在しないという点にあります。この均一性こそが代替性(fungibility)の源泉です。
HDウォレットはステルスアドレスではない
「BitcoinのBIP-32階層的決定性ウォレットはすでにこの問題を解いているのでは?」と考える方がよくいます。支払いごとに新しいアドレスを発行できるからです。しかし答えはノーです。BIP-32ウォレットでは、送金者が支払いごとに受取人へ新しいアドレスを要求するか、受取人が事前に新しいものを発行しておく必要があります。ブログに固定の寄付アドレスを掲示してしまえば、BIP-32は何の役にも立ちません。これに対しステルスアドレスは、受取人が長期的な一つのアドレスを公開するだけで、追加のやりとりなしに任意の回数のリンク不可能な入金を受け取れます。
具体例: MoneroとMoneroSwapperによる送金フロー
ステルスアドレスの挙動を腑に落とすには、実際に使ってみるのが一番です。現実味のあるシナリオを一つ考えてみましょう。福岡在住のフリーランスの翻訳者が、ベルリンの法律事務所から報酬を受け取りたいと考えています。本人はMoneroアドレスに紐づく過去の入出金履歴を依頼主に把握させたくありません。受け取ったMoneroは一度きりの設備購入のために別資産へ交換したいので、MoneroSwapperを使い、元の入金から最終的な引き出しアドレスまでをチェーン上で結びつけるパンくずを残さずに済ませたいと考えています。
- 翻訳者はFeather WalletまたはMonero公式GUIで新しいMoneroサブアドレスを発行します。Moneroはサブアドレスを既定で採用しており、サブアドレス自体がメインアドレスからの決定的なオフセットなので、新しい秘密鍵を別途エクスポートすることなく、依頼主ごとに何千でも管理できます。
- 翻訳者はSignal経由でサブアドレスをベルリンの依頼主に共有します。依頼主は自分のMoneroウォレットを開き、アドレスを「送金」欄に貼り付けて送金を確定します。依頼主のウォレットがサブアドレスから一回限りの公開鍵を導出し、それをトランザクションに書き込みます。
- およそ二分後、トランザクションがMoneroブロックチェーン上で確定します。翻訳者のウォレットはバックグラウンドでチェーンをスキャンしており、当該出力を自分のものと認識して残高を更新します。外部の観察者から見ると、出力先は彼女のアドレスとの可視的なつながりが一切ない真新しい楕円曲線点に過ぎません。
- 翻訳者はMoneroSwapperを開き、交換先資産(例えばLitecoin)を選び、ハードウェアウォレットで新しく発行したLitecoinアドレスを貼り付けます。スワップエンジンがレートを提示し、翻訳者はMoneroSwapperが提供する一回限りの入金アドレスへMoneroを送金、数ブロック後にLitecoinが彼女のハードウェアウォレットへ到着します。
- すべての段階——依頼主の支払い、MoneroSwapperの入金アドレス、新規発行されたLitecoin受取アドレス——でステルスアドレスが介在しているため、関与する秘密ビュー鍵にアクセスしない限り、ベルリンの依頼主のウォレットから福岡の翻訳者のハードウェアウォレットへ至るチェーン分析上の経路は存在しません。
これはステルスアドレスが「特殊な道具」ではなく「普通のワークフロー」になっている例です。翻訳者はミキサーを起動しておらず、Torを手動で設定しておらず、タイミング分析を気にする必要もありません。システムの既定の暗号挙動がプライバシー保証を「無料で」提供してくれているわけです。
よくある誤解と現実的な限界
ステルスアドレスは強力な道具ですが、魔法ではありません。重要な使い方をする前に解いておくべき根強い誤解がいくつか存在します。
第一に、ステルスアドレス単独では取引金額は隠せません。秘匿取引を持たないBitcoinやEthereumのようなチェーン上に素朴に実装した場合、ステルスアドレスを使っていても受け取った額は出力に明示されたまま漏れます。MoneroはこれをRingCTとの組み合わせで解決しました。RingCTはPedersenコミットメントで金額を暗号化し、Bulletproofs+の範囲証明で「無から金が湧いていない」ことを暗号学的に証明します。
第二に、ステルスアドレスは送信者を隠しません。送金を署名した元の公開鍵情報は、ほとんどの設計でチェーン上に残ります。Moneroはこの送信者匿名化をリング署名(現行はCLSAG、将来的にはFCMP++へ置き換え予定)で別途実現しており、本物の送金者の鍵イメージをチェーン上の既存出力から選ばれたデコイ群と混ぜ合わせます。この補完的な仕組みなしには、ステルスアドレスは方程式の半分しか覆えません。
第三に、ステルスアドレスはオフチェーンの漏洩を防ぎません。「ノートパソコン代、いま送ったよ」と友人にLINEで伝えてしまえば、捜査機関がLINEに開示請求をかけた時点で、オンチェーン側の暗号学的プライバシーは無関係になります。IPレベルの漏洩も同様で、保護されていないインターネット接続で取引をブロードキャストするウォレットは、リッスンしている任意のノードに送信元IPを漏らします。オンチェーン出力がいかにリンク不可能でも関係ありません。ウォレットはTor経由で動かすか、Dandelion++と併用してこの穴を塞ぐべきです。
第四に、秘密ビュー鍵の開示は不可逆です。一度ビュー鍵を取引所、監査人、税務当局に渡すと、そのアドレスに対する過去と未来のすべての入金がスキャン可能になります。ビュー鍵は背後のアカウントごと作り直さない限りローテーションできません。これがMoneroがJamtisアドレス形式に取り組んでいる理由の一つで、ビュー権限をより細分化された役割に分割し、「この一件だけ見られる」権限を「今後の入金もすべて見られる」権限なしに付与できるようにする計画です。
日本のユーザーが押さえておきたい実務メモ
日本の暗号資産ユーザーには固有の事情がいくつかあります。第一に、国内のホワイトリスト制度のもと、bitFlyer、Coincheck、bitbankなど主要な交換業者はMoneroをはじめとする匿名性の高い暗号資産を取り扱っていません。これは利用者がMoneroを保有・使用することを違法とするものではなく、登録業者の取扱資産が金融庁の事前承認制になっていることに由来する流通制限です。Moneroをスポット保有したい場合は、海外取引所、分散型スワップサービス、あるいはMoneroSwapperのようなKYC不要のスワッパーを経由する必要があります。
第二に、税務上の取り扱いです。国税庁の現行ガイドラインでは、暗号資産の譲渡益は原則として雑所得(総合課税)として申告する必要があります。ステルスアドレスを使っているか否かは課税義務の発生に影響しません。プライバシー技術は税務報告の免除ではなく、第三者観察に対する保護にすぎないという点を混同しないことが重要です。匿名性が高いから申告しなくてよい、という解釈は通用しません。
第三に、ビュー鍵を税理士や監査担当者に提供する場合の運用です。前述のとおりMoneroのビュー鍵はローテーション不能なので、開示する前に「どこまでの履歴を渡すことになるか」を必ず確認してください。可能であれば、当該年度の取引のみを対象としたサブアカウントを切って運用し、年度終了後はそのアカウント自体を運用停止にするのが安全です。Jamtisが導入されればこの運用はより細やかにできるようになります。
サブアドレス、統合アドレス、メインアドレス — 何をいつ使うか
Moneroにはステルスアドレスの上に積み重ねられた複数のアドレス形式があり、運用上はそれぞれを使い分ける必要があります。メインアドレス(95文字、「4」始まり)はウォレット作成時に最初に提示される長期アドレスです。これを直接公開することは技術的には可能ですが、複数の入金経路を会計上分離したい場合には扱いにくく、推奨されません。サブアドレス(95文字、「8」始まり)はメインアドレスの公開スペンド鍵から決定的に派生する追加のアドレスで、口座番号のような感覚で何千も発行できます。サブアドレスへの入金は、入金時にステルスアドレスの仕組みでさらに一回限りの公開鍵に変換されるため、二重のリンク非可能性が得られます。統合アドレス(integrated address、106文字)はメインアドレスに64ビットの暗号化されたペイメントIDを埋め込んだものですが、サブアドレスの登場以降は事実上非推奨となっており、今から新規に採用する理由はほとんどありません。
運用の指針としては、原則すべての入金にサブアドレスを発行する、同じ相手であっても用途(報酬、立替清算、寄付など)が異なれば別のサブアドレスを切る、ビュー鍵を渡す場合は前述のとおりサブアカウント単位で分離する、という三点を守るだけで、日常使いに必要なプライバシーはほぼ確保できます。ハードウェアウォレット(Trezor Model T、Ledger Nano S Plus/X、最新のFlex)もサブアドレスをネイティブにサポートしており、署名はデバイス上で完結します。Feather Wallet、Cake Wallet、Stack Walletといった主要なソフトウェアウォレットも同様で、これらを併用すればモバイル・デスクトップ・コールドストレージを跨いだ一貫したサブアドレス運用が可能です。
逆に避けたい運用としては、SNSや個人サイトの固定欄にメインアドレスをそのまま貼り付ける、複数のサブアドレスを別人に対して使い回す、ペーパーバックアップに公開アドレスとビュー鍵を一緒に書いて保管する、といったパターンが挙げられます。これらはステルスアドレスの暗号学的保証を実質的に無効化してしまう運用ミスです。
FAQ
ステルスアドレスとワンタイムアドレスは同じものですか?
チェーンの視点からは事実上同じです。受取人が公開しているのは長期的な単一アドレスですが、各トランザクションに書き込まれる暗号学的な宛先は毎回導出される一回限りの公開鍵です。「ステルスアドレス」という用語は通常、長期的に共有できる識別子の方を指し、「一回限り公開鍵(one-time public key)」はチェーンに実際に現れる支払いごとの成果物を指します。
Bitcoinにはステルスアドレスがありますか?
ネイティブにはありません。Peter Toddによる「stealth address」初期ドラフトや、BIP-47「再利用可能ペイメントコード」提案が存在しますが、いずれもBitcoin Coreに統合されませんでした。SamouraiやSparrowなど一部のウォレットがBIP-47ベースのPayNymをサポートしており、最初の通知トランザクションを一度オンチェーンで送るコストと引き換えに、似た受信者プライバシー特性を得られます。使える回避策ではありますが、組み込み機能ではありません。
警察はステルスアドレスを追跡できますか?
アドレスのみから直接追跡することはできません。ステルスアドレスを身元に結びつけるためには、捜査機関は通常、秘密ビュー鍵(自発的な提出、業者への開示請求、押収端末からの抽出のいずれか)、入金に紐づく取引所のKYC記録のようなオフチェーンの相関、あるいは保護されていないウォレットが最初のトランザクションをログ付きIPからブロードキャストしたといったネットワーク層の漏洩のいずれかを必要とします。暗号学的プリミティブそのものは、2026年時点で破られていません。
Moneroのウォレットの同期がとても遅いのはなぜ?
ステルスアドレスが課すスキャン負荷のためです。ウォレットは全ブロックをダウンロードし、各出力をあなたの秘密ビュー鍵で検証します。スマホへの新規インストールでは数時間かかることもあります。ビュー鍵サーバや今後実装されるFCMP++証明システムは、スキャン自体を外部委託したり、試行錯誤照合の代わりに簡潔な証明を検証したりすることで、この時間を劇的に短縮します。
Ethereumでステルスアドレスは使えますか?
いずれ使えるようになりますが、規格はまだドラフト段階です。ERC-5564はsecp256k1鍵を用いたステルスアドレス方式を定義し、ERC-6538は通常のEthereumアドレスからステルスメタアドレスへの解決を行う公開レジストリを追加します。Vitalik Buterinは2024年と2025年の複数の投稿でこのアプローチを推進していますが、実用化はウォレット対応と、追加計算分のガス代を負担してもよいというユーザー側の合意に依存しています。
ステルスアドレスは合法ですか?
2026年時点で当方が把握しているすべての法域において合法です。プライバシー保護のための暗号プリミティブの利用自体は、どこの国でも違法とはされていません。規制対象になるのは背後にある活動の方です。一部の規制の厳しい国の取引所や預託サービスがステルスアドレス系コインの取扱いを見送っているのは、ビジネス判断であって利用者側に対する法的禁止ではありません。日本でも、金融庁のホワイトリスト外であることと「保有が違法」であることは別の話です。
まとめ — ステルスアドレスがプライバシースタックの背骨である理由
ステルスアドレスは、一見すると拍子抜けするほど単純なアイデアです。受取人の恒久的なアドレスをそのままブロックチェーンに書き込むのではなく、受取人だけが認識して回収できる新規生成・使い捨ての公開鍵を毎回書き込む。それだけです。そこにリング署名、秘匿金額、ネットワーク層の保護を重ねることで、現代の代替可能性のある暗号通貨の骨格が出来上がります。Moneroの出力が、Bitcoinの出力のように選別して凍結されたり、ブラックリスト化されたり、束ねてクラスタリングされたりしないのは、まさにこの組み合わせのおかげです。フリーランスとして報酬を受け取る人にとっても、情報源からの情報提供を受けるジャーナリストにとっても、仕入先価格を秘密に保ちたい中小事業者にとっても、あるいは「金融プライバシーはお金が本来備えるべき普通の機能だ」と考えるだけの個人にとっても、ステルスアドレスはプライバシースタック全体に説得力を与える根幹のプリミティブです。MoneroSwapperはこのプリミティブを入口から出口まで一貫して利用しています。当方が発行するすべての入金アドレスは一回限りのステルス出力であり、すべてのスワップは入力と引き出しの間にオンチェーンの結びつきを残さず、利用にアカウント登録は一切不要です。実際の挙動を目で確認したい場合は、MoneroSwapper上で小額のテストスワップを送ってみて、その入金アドレスがチェーンの他のどこにも現れないことをご自身で観察してみてください。ステルスアドレスが本来の仕事をしている瞬間が、そこに映っています。