保育園が「Radiant」にハッキングされ10人の子どもの個人情報がネット上に漏えい＆数千人の園児の写真や個人情報を公開すると脅迫される非常事態に

イギリスで複数の保育園を運営するKidoが、「Radiant」と呼ばれるハッカー集団によるサイバー攻撃を受けたことが明らかになりました。Kidoは数千人の保育園児の個人情報をインターネット上に漏えいされる危機に瀕しています。

Kido nursery hackers threaten to publish more children’s profiles | Cybercrime | The Guardian
https://www.theguardian.com/technology/2025/sep/26/kido-nursery-hackers-radiant-threaten-publish-children-profiles

Hackers 'behind nursery cyber attack' tell Sky News they are releasing more data on dozens of children | UK News | Sky News
https://news.sky.com/story/hackers-behind-nursery-cyber-attack-tell-sky-news-they-are-releasing-more-data-on-dozens-of-children-13438696

Data on more than 8,000 children stolen in nursery hack, UK media reports - KYMA
https://kyma.com/news/2025/09/26/data-on-more-than-8000-children-stolen-in-nursery-hack-uk-media-reports/

「Radiant」と名乗るハッカー集団が、イギリスに拠点を置く保育園チェーンのKidoをハッキングしました。Radiantは現地時間の2025年9月25日に10人の子どものプロフィールをオンライン上に公開しています。このプロフィールには、子どもの名前、生年月日、出生地、両親、祖父母、保護者の住所や電話番号などが含まれているそうです。

ダークウェブ上にあるRadiantのウェブサイト(被害者のデータをダークウェブ上に公開するためのウェブサイト)には「データ漏えいロードマップ」が掲載されており、「今後のステップとして、子ども1人につき、さらに30件の情報と、従業員100人の個人情報をリークする予定がある」と記されています。なお、Radiantは8000人以上の子どもとその家族に関する機密データを保有していると主張しており、「イギリス内にあるKidoが運営する保育園に通う園児すべてが影響を受ける」と述べました。

Radiantによる投稿は英語で書かれていますが、表現に「若干のぎこちなさ」が見られるため、ヨーロッパ圏外のユーザーによる犯行である可能性があるとThe Guardianは指摘しています。

RadiantのリークサイトにはKidoとの交渉について、「我々がゆっくりと園児の個人情報をリークするにつれ、Kido全体が破滅に向かいます。我々は彼らに対話を続けるよう促しています」と記されているそうです。

Kidoの広報担当者はThe Guardianに対して、「先日、サイバーインシデントが発生していることを確認し、対応しました。外部の専門家と連携し、詳細な調査・原因究明に取り組んでいます。ご家族と関係当局に速やかに連絡し、引き続き緊密に連携していきます」と述べました。

Kidoはイギリスの情報コミッショナーオフィス(ICO)や教育基準監査局のOfstedなどと協力しており、ロンドン警視庁が捜査を担当していることも明かしています。

The GuardianはKidoのキャサリン・ストーンマンCEOと連絡を取り合っており、同社はこのインシデントを「最優先」で処理しており、独立したITフォレンジックの専門家を複雑かつ時間を要する可能性のある調査に投入するなどして、対応を進めていると説明しました。なお、ストーンマンCEOは、今回のセキュリティ侵害について「特定のデータ処理に使用されていた2つのサードパーティーシステムに起因する」と説明しています。

Kidoはイギリスのロンドン周辺に18の拠点を持つだけでなく、アメリカ、インド、中国にも拠点を持つ保育園チェーンです。Kidoは保育園が保護者と写真や情報を共有するために使用されている「Famly」というソフトウェアサービスがホストするデータに犯罪者がアクセスし、情報漏えいが発生したと保護者に通達しています。

なお、Famlyのアンダース・ラウストセンCEOは、「今回の事件について徹底的な調査を実施した結果、Famlyのセキュリティやインフラへの侵害は一切なく、他のお客様への影響もないことを確認できました。もちろん、Famlyではデータセキュリティとプライバシーを極めて重視しています」とコメントしており、今回のサイバー攻撃を受けたのがFamlyのシステムではないことを示唆しています。

BBCは匿名の被害者園児の保護者から、「犯人から脅迫電話を受け、Kidoに身代金を支払うよう圧力をかけなければ子どもの個人情報をネットに公開すると脅迫された」という証言を得たと報じています。

ロンドン南西部トゥーティングにあるKidoの保育園に子どもを通わせているというショーンさんは、The Guardianに対して「自分も知り合いの親たちも、子どもの個人情報が漏えいしたことを保育園から直接聞いていないものの、不安は拭えない」と語っています。

ショーンさんは、Famlyを使うことで「子どもが何を食べたのか」などの情報をリアルタイムで得られることには大きな価値があるとしたうえで、アプリを使う上でサイバー攻撃は避けられないリスクであると把握していると述べました。また、説明責任を負わなければならないのはアプリ提供者側なのに、Kidoの保育士が苦情の矢面に立たされているのは「気の毒」とも語っています。

BBCはメッセージアプリ「Signal」を使ってRadiantのメンバーと会話することに成功しており、犯行の動機について「金のためです。金以外の何物でもありません。自分たちが犯罪者だと自覚しています。今回が初めてではないし、最後でもありません」というメッセージを受け取ったと報じています。