Lazarus GroupがDeFiを18日間で$5.75億奪取——KelpDAO/$2.92億ハックが日本の暗号資産規制・RWA戦略を直撃する理由

Lazarus GroupがDeFiを18日間で$5.75億奪取——KelpDAO/$2.92億ハックが日本の暗号資産規制・RWA戦略を直撃する理由

この記事のポイント

  • 2026年4月18日、北朝鮮系APT「Lazarus …
  • 2026年最大のDeFiエクスプロイトとなった。
  • Kelp側は緊急ポーザーで46分以内に追加の$9500万の引き出しをブロックしたが…
Time-to-Japan Index
日本上陸時期予測日本でのDeFiクロスチェーンブリッジの制度的利用解禁まで24〜36ヶ月と予測。ただし、FSA管理下のパーミッション型ブリッジ(RWA用途限定)は12〜18ヶ月以内に先行事例が出ると見る。
実現可能性38%

背景と概要

2026年4月18日、北朝鮮系APT「Lazarus Group」がKelpDAOのLayerZero製クロスチェーンブリッジを悪用し、約2億9200万ドル(116,500 rsETH)を奪取。2026年最大のDeFiエクスプロイトとなった。攻撃手法はスマートコントラクト脆弱性ではなく、LayerZeroのRPCノード2基を侵害しDDoSで外部ノードを強制フェイルオーバーさせることで、1-of-1 DVN(Decentralized Verifier Network)構成の唯一の検証者を騙す「オフチェーンインフラ攻撃」だった。Kelp側は緊急ポーザーで46分以内に追加の$9500万の引き出しをブロックしたが、DeFi全体のTVL(Total Value Locked)は$140億超下落。Lazarus Groupは同月4月1日のDrift Protocolへのソーシャルエンジニアリング攻撃($2.83億)と合わせ、18日間で$5.75億をDeFiから強奪した。責任の所在をめぐりKelpDAOとLayerZeroが公開論争を展開中。一方、日本では金融庁(FSA)が2026年7月施行予定のカストディ最終ガイドラインを公表済みであり、暗号資産を金融商品に再分類・ハッキング等への賠償準備金積立を義務化する規制整備が進行している。

本質的な課題

クロスチェーンブリッジのオフチェーンインフラ(DVN・RPCノード)はパブリックブロックチェーンの「信頼の外部依存点」として機能しており、いかに高度なスマートコントラクト監査を施しても、オフチェーン層への侵害一点で全資産が危険に晒される。特に「1-of-N構成」という設定ミスが国家級APTに悪用された本件は、DeFiセキュリティの責任境界が設計者・運営者・インフラ提供者の間で不明確であることを示す。

日本市場における障壁

法的障壁:DeFiへの法的責任帰属の空白

金融庁はDeFiプロトコル自体を直接規制する法的根拠を持たず、KelpDAO型のDAOエクスプロイト発生時の補償義務・損失負担者が誰か(プロトコル・ブリッジ提供者・取引所・ユーザー)を規定する法律が存在しない。FSAが2026年7月に施行するハッキング賠償準備金義務は中央集権型取引所にのみ適用され、分散型ブリッジには及ばない。

物理的障壁:マルチDVN・冗長RPC運用の技術人材不足

LayerZeroのマルチDVN設定やRPCノード冗長化は、Ethereum/EVM のインフラ運用に精通したエンジニアを必要とする。日本の金融機関・SaaS企業ではこの分野の専門人材プールが薄く、設定ミスリスクが高い。国内でのDVN設計標準もJVCEA(日本暗号資産交換業協会)を含め未整備。

文化的障壁:2018年Coincheck事件由来のDeFiアレルギー

580億円(当時)を失ったCoincheck事件以降、日本の機関投資家・金融規制当局はホットウォレット・スマートコントラクト・クロスチェーン技術全般に対し過剰な警戒感を持つ。今回のKelpDAOハックは「やはりDeFiは危険」という印象を強化し、Progmat(MUFG系)やODX(SBI・野村系)のSTO/RWAプロジェクトでさえも稟議が止まるリスクがある。

影響を受ける産業

この変化の影響は一部の業界にとどまらない。とりわけクロスチェーンブリッジ単体のセキュリティ監査会社(スマートコントラクト監査のみ提供企業は競争優位を失う)、中央集権型暗号資産カストディサービス(FSAの賠償準備金義務により資本コスト増加、準備金を積めない中小事業者は退場)、従来の証券決済インフラ(DVP決済・T+2サイクル)——RWAトークン化と24/7ブロックチェーン決済が代替圧力をかけるといった領域では、既存のビジネスモデルや競争構造の見直しを迫られる可能性が高い。

今後のシナリオ

楽観シナリオ

金融庁がRWA限定のブリッジ特区を設け、2027年中に野村・SBI主導の「管理型DeFiブリッジ」が稼働

FSAが2026年末までにRWA(不動産・国債トークン)の国際流通を目的とした「ホワイトリスト型ブリッジ」の試験利用を認可。Progmat上の資産をAstar NetworkやPolygon CDKを介して海外RWAプラットフォームと接続する実証実験が始動。暗号資産税率20%フラット化(2026年施行予定)とあわせ個人投資家の流入も加速し、日本のRWA時価総額が2028年に1兆円(約65億ドル)を突破。

現実シナリオ

ODX・Progmatがパーミッション型チェーン上でのみブリッジ技術を採用し、「管理された相互運用性」として2027年中に国内STO市場に実装

完全なパブリックDeFiとは一線を画し、ProgmatおよびODXがFSA認定DVNを持つホワイトリスト型ブリッジ(Hyperledger Besuまたは専用EVM L2)を採用。リキッドステーキングには踏み込まず、RWA移転のみに使途を限定。2027年中に不動産・社債トークンの国内外流通が限定的に始動。KelpDAO事件を受けFSAが要求するDVN冗長化要件(3-of-5以上)が業界標準として定着。

悲観シナリオ

Lazarus GroupによるKelpDAO級の攻撃が日本の取引所またはRWAプロジェクトに直撃し、FSAが事実上のブリッジ禁止措置

4月の$5.75億奪取実績を持つLazarus Groupが、日本の暗号資産取引所または開発中のRWAプロジェクトを標的に据える。被害発生後、FSAが「日本居住者向けサービスへのブリッジ技術使用禁止」を緊急通達。国内DeFi関連開発が5年以上停滞し、Progmatは完全クローズド型(パーミッション型ブロックチェーンのみ)に後退。

編集部の見立てでは、これらの動きが日本市場へ本格的に波及するまでには、 およそ日本でのDeFiクロスチェーンブリッジの制度的利用解禁まで24〜36ヶ月と予測。ただし、FSA管理下のパーミッション型ブリッジ(RWA用途限定)は12〜18ヶ月以内に先行事例が出ると見る。を要すると考えられる。

日本市場での事業機会

Progmat × マルチDVNセキュリティ監査SaaS

三菱UFJ系ProgmatのRWAプラットフォームに、LayerZeroのDVN冗長化設計・RPC侵害検知を自動化するセキュリティ監査レイヤーをAPI接続するSaaSを提供する。NTTデータやNRIセキュアが「DVN構成診断サービス」として展開すれば、グローバルのブリッジ設計標準策定で日本が主導権を取れる可能性がある。既存の金融セキュリティ審査(FISC安全対策基準)をブリッジ設計に接続するローカライズが差別化になる。

電子記録移転権利(ETRO)へのDVN転用——証券デジタル化のコンプライアンス自動化

KelpDAO事件で問題になった「クロスチェーンメッセージの真正性証明」技術を、日本の電子記録移転権利(ETRO)の移転時のFSA報告義務対応に転用する。移転時のオンチェーン証跡をDVNが自動署名・タイムスタンプし、金融庁へのリアルタイム報告を自動化。証券会社・信託銀行の内部監査コストを削減しつつ、DeFiブリッジ技術の「規制適合版」として日本市場に独自ポジションを確立する起業機会。

1-of-1 DVN構成禁止の業界標準化——JVCEAがKelpDAO教訓をガイドライン化

KelpDAO事件の核心は「1-of-1 DVN設定」という設計上の単一障害点だった。JVCEAまたはFSAが「ブリッジ設計における最低DVN冗長数(3-of-5以上)」を義務付けるガイドラインを策定し、日本の取引所・RWAプロジェクトに適用することで、国家級APTへの構造的耐性を最初から組み込む。この標準を日本発のISOまたはISO/TC307提案として国際展開すれば、セキュリティ分野での国際規格主導が可能。

戦略的アクション

経営層が取るべき行動

【今期の優先投資判断】KelpDAO事件はスマートコントラクト監査のみへの過信が$2.92億の損失を招くことを実証した。RWAトークン化・ブリッジ活用を検討している国内金融機関は、今すぐセキュリティ予算を『DVN冗長化設計レビュー』と『RPC/オフチェーンインフラの侵害検知体制整備』に優先配分すべきである。FSAの賠償準備金義務(2026年7月施行)への対応コストも試算に加えること。【最大リスク】Lazarus Groupは18日間で$5.75億を奪取した実績を持つ国家級APTであり、過去には日本のVirginiaメガバンク系取引所も標的にしてきた。KelpDAO規模のインシデントが日本で発生した場合、FSAによる緊急ブリッジ禁止措置とブランドレピュテーションの双方が致命的打撃となる。RWA参入は技術スタック選定を今から進めつつ、実際の資産組成は規制整備後(2027年以降)に段階的に移行するのが現時点での最適解。

エンジニアが取るべき行動

【最大の技術的ハードル】KelpDAO事件の教訓は明確だ——ブリッジ実装における最大のリスクはスマートコントラクトではなくオフチェーンインフラである。具体的には:①DVN設定の最低3-of-5冗長化、②RPC提供者の多様化(単一ベンダー依存禁止)、③DVNノードのリアルタイム異常検知(疑似DDoS・フェイルオーバー監視)が実装のクリティカルパス。Progmat・Astar NetworkとEVM互換ブリッジを組み合わせる際、FSA報告義務(移転記録・監査ログ)に対応したオンチェーン証跡の自動生成モジュールが現時点では市場に存在しない。この『規制対応型ブリッジ監査ミドルウェア』を先に作った国内エンジニアチームが、ODXやProgmatへのB2Bソリューション販売とグローバル展開の双方でアービトラージ機会を持つ。JVCEAとのガイドライン共同策定に技術顧問として参画するルートも有効。

参考資料・出典

関連キーワード:Lazarus GroupFSADeFiKelpDAORWAAPT