1oQKO3

2013 ThaiCERT
ANNUAL REPORT
รายงานประจำปีไทยเซิร์ต 2556

ชื่อเรื่อง : รายงานประจำปีไทยเซิร์ต 2556 (2013 ThaiCERT ANNUAL REPORT)
เรียบเรียงโดย : สุรางคณา วายุภาพ, ชัยชนะ มิตรพันธ์, สรณันท์ จิวะสุรัตน์, ธงชัย แสงศิริ
พรพรหม ประภากิตติกุล, ธงชัย ศิลปวรางกูร, ณัฐโชติ ตุสิตานนท์ และทีมไทยเซิร์ต
เลข ISBN : ISBN 978-616-91910-8-7
พิมพ์ครั้งที่ : 1 พฤศจิกายน 2557
พิมพ์จำนวน : 1,000 เล่ม
ราคา : 300 บาท
สงวนลิขสิทธิ์ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537
จัดพิมพ์และเผยแพร่โดย :
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย
(Thailand Computer Emergency Response Team)
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
อาคารเดอะ ไนน์ ทาวเวอร์ แกรนด์ พระรามเก้า (อาคารบี) ชั้น 21 เลขที่ 33/4
ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310
โทรศัพท์ : 0 2123 1234 | โทรสาร : 0 2123 1200
อีเมล : office@thaicert.or.th
เว็บไซต์ไทยเซิร์ต : www.thaicert.or.th
เว็บไซต์ สพธอ. : www.etda.or.th
เว็บไซต์กระทรวงไอซีที : www.mict.go.th

สารจากผู้กำหนดทิศทาง “ไทยเซิร์ต”

ในขณะที่โลกกลังมุ่งสู่ยุคที่คนและเทคโนโลยีต้อง
เกี่ยวพันกัน 24x7 และประเทศไทยมีผู้ใช้อินเทอร์เน็ต
เกือบ 30% ของประชากร ประเทศจำเป็นต้องวาง
โครงสร้างการบริหารจำัดการความมั่นคงปลอดภัย
ไซเบอร์ของประเทศที่มีความชัดเจำน ในบทบาทหน้าที่
“ไทยเซิร์ต” ภายใต้การกกับดูแลของ สพธอ. ถือเป็น
กลังสคัญที่พร้อมให้ความช่วยเหลือดูแลงาน
ความมั่นคงปลอดภัยไซเบอร์ที่สคัญนี้
พรชัย รุจิประภา
รัฐมนตรีว่าการกระทรวงไอซีที

บทบาทของกระทรวงไอซีทีที่จำะต้องส่งเสริมการพัฒนา
และการใช้เทคโนโลยีไซเบอร์ในการบริหารจำัดการ
ประเทศเพียงอย่างเดียวอาจำยังไม่เพียงพอ จำเป็นต้องมี
หน่วยงานกลางที่สามารถให้ความช่วยเหลือได้รวดเร็ว
ทันที แก้ปัญหาเฉพาะหน้าได้อย่างมีประสิทธิภาพ
ซึ่งดิฉันเชื่อมั่นว่า “ไทยเซิร์ต” พร้อมในบทบาทนี้
เมธินี เทพมณี
ปลัดกระทรวงไอซีที

ในระยะ 3 ปี ที่ผ่านมา “ไทยเซิร์ต” ภายใต้ สพธอ.
ได้มีส่วนดูแลและปกป้องธุรกรรมออนไลน์
ของประเทศไทย ซึ่งผมและกรรมการบริหาร สพธอ.
พร้อมผลักดันและสนับสนุนการทงานของ
“ไทยเซิร์ต” ให้เข้มแข็งมากขึ้นและเป็นกลังสคัญ
ในด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ
เพื่อพร้อมเข้าสู่ AEC2015
จรัมพร โชติกเสถียร
ประธานกรรมการบริหาร สพธอ.

ก้าวต่อไปในอนาคตของ Cybersecurity ไทย
จำะต้องมีการผลักดันให้ประเทศมี National
Cybersecurity Governance โดย สพธอ.
จำะยกระดับการทงานของ “ไทยเซิร์ต” ให้เป็น
National CERT เพื่อให้ประเทศมีความพร้อม
ในการรับมือภัยคุกคามไซเบอร์ได้ทันท่วงที
สุรางคณา วายุภาพ
ผอ.สพธอ.

12
CONTENTS | สารบัญ
สารจากผู้กำหนดทิศทาง “ไทยเซิร์ต” 4
สารบัญ/ สารบัญตาราง/ สารบัญรูปภาพ/ สารบัญกราฟ 12
บทนำ 20
บทที่ 1 ผลงานเด่นและเหตุการณ์สำคัญ ปี 2556 22
1.1 ThaiCERT 2013 Infographic 24
1.2 Key Event Timeline 2013 26
บทที่ 2 บริการของไทยเซิร์ต 30
2.1 บริการรับมือและจัดการสถานการณ์ด้านความมั่นคงปลอดภัย 32
2.2 บริการวิชาการด้านความมั่นคงปลอดภัย 33
2.3 บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสารด้านความมั่นคงปลอดภัย 34
2.4 บริการตรวจพิสูจน์พยานหลักฐานดิจิทัล 35
2.5 บริการตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ 36

13
บทที่ 3 รายงาน Threat & Cybersecurity ปี 2556 38
3.1 ภัยคุกคามที่ไทยเซิร์ตได้รับแจ้ง 39
3.1.1 สถิติภัยคุกคามด้านสารสนเทศที่ได้รับแจ้งผ่านระบบอัตโนมัติ 41
3.1.2 สถิติภัยคุกคามที่ได้รับการประสานและจัดการโดยไทยเซิร์ต 59
3.2 ภัยคุกคามที่เป็นกรณีศึกษาที่ไทยเซิร์ตเข้าไปดำเนินการ 64
3.2.1 กรณีพบการโจมตีเว็บไซต์ที่ใช้ระบบบริหารจัดการเว็บไซต์ CMS ของไทย 65
3.2.2 กรณีแอปพลิเคชันธนาคารออนไลน์ปลอมในระบบปฏิบัติการแอนดรอยด์ 66
3.2.3 กรณีเว็บไซต์สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม 68
3.2.4 กรณีไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi 70
3.2.5 กรณี Web Defacement หน่วยงานสำคัญในประเทศ 72
3.2.6 กรณีการตรวจพิสูจน์พยานหลักฐานเครื่อง BitTorent Server 75
บทที่ 4 การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร์ 76
4.1 ประชุม อบรม สัมมนา และกิจกรรมอื่น ๆ 77
4.1.1 ประชุมและสัมมนาที่ไทยเซิร์ตเช้าร่วม 78
4.1.2 ศึกษาดูงาน 82
4.1.3 กิจกรรมที่ไทยเซิร์ตเป็นเจ้าภาพ 83
4.2 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ 88
4.3 ข้อตกลงความร่วมมือกับหน่วยงานทั้งในและต่างประเทศ 90

14
บทที่ 5 รายงาน CERTs ของประเทศสมาชิกอาเซียน +3 94
บทที่ 6 ความท้าทายในบทบาท National CERT 104
ภาคผนวก
ภาคผนวก ก การจัดประเภทของเหตุภัยคุกคามด้านสารสนเทศ 110
ภาคผนวก ข อภิธานศัพท์และคำย่อ 114
ภาคผนวก ค ข้อมูลสถิติรายงานภัยคุกคามที่ได้รับแจ้งจากระบบอัตโนมัติ 118
ภาคผนวก ง รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC 136

15
สารบัญตาราง
ตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก 46
ตารางที่ 2 คำอธิบายของหมายเลขพอร์ตที่ถูกสแกน 58
ตารางที่ 3 ข้อมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนกตามผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง 61
ตารางที่ 4 ข้อมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนกตามผู้เกี่ยวข้องและประเภทหน่วยงาน 62
ตารางที่ 5 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ที่บุคลากร ThaiCERT ได้รับ 88
ตารางที่ 6 ข้อมูลของหน่วยงาน CERT ระดับประเทศในอาเซียน+3 95
ตารางที่ 7 ประเภทภัยคุกคามของรายงานที่ได้รับแจ้งผ่านระบบอัตโนมัติ 110
ตารางที่ 8 แสดงประเภทของภัยคุกคามสำหรับการประสานเพื่อรับมือและจัดการ 112
ตารางที่ 9 อภิธานศัพท์และคำย่อ 114
ตารางที่ 10 จำนวนหมายเลขไอพีของเครือข่าย (AS number ที่ได้รับแจ้งเหตุภัยคุกคาม) ที่ได้รับแจ้งรายงานภัยคุกคามสูงที่สุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ 118
ตารางที่ 11 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจำนวนรายงานประเภท Botnet สูงที่สุด 120
ตารางที่ 12 สถิติประเภท Open DNS Resolver นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 122
ตารางที่ 13 สถิติประเภท Scanning นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 124

16
สารบัญตาราง
ตารางที่ 14 สถิติประเภท Spam นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 126
ตารางที่ 15 สถิติประเภท Open Proxy Server นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 128
ตารางที่ 16 สถิติประเภท Malware URL นับตามจำนวนURL และหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 130
ตารางที่ 17 สถิติประเภท Web Defacement นับตามจำนวน URL และหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 130
ตารางที่ 18 สถิติประเภท Phishing ที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย 134
ตารางที่ 19 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-M 136
ตารางที่ 20 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-T 137

17
สารบัญรูปภาพ
รูปที่ 1 ลักษณะการโจมตีด้วยเทคนิค DNS amplification attack (ที่มา: secureworks com) 50
รูปที่ 2 ตัวอย่างเว็บไซต์ที่ถูกโจมตี Web Defacement 65
รูปที่ 3 ตัวอย่างแอปพลิเคชันปลอม 66
รูปที่ 4 โครงสร้างของไฟล์ภายในแอปพลิเคชันปลอม 67
รูปที่ 5 พฤติกรรมของการส่ง SMS ที่ตรวจสอบได้ 67
รูปที่ 6 การดาวน์โหลด Java Applet ไม่พึงประสงค์ 68
รูปที่ 7 เว็บไซต์ของธนาคารที่ถูกเพิ่มเนื้อหาเข้าไปโดยโปรแกรมไม่พึงประสงค์ 69
รูปที่ 8 แสดงการจำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ 70
รูปที่ 9 แสดงหน้าต่างแจ้งเตือนการอัปเดต 70
รูปที่ 10 ตัวอย่างการโจมตีในลักษณะ Web defacement กับเว็บไซต์ของกระทรวงศึกษาธิการ 74
รูปที่ 11 อันดับความสามารถในการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ในรายงาน World Competitiveness Rankings 2013 ของ IMD 105

18
สารบัญกราฟ
กราฟที่ 1 จำนวนหมายเลขไอพีที่ไม่ซ้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี 41
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด นับเฉพาะหมายเลขไอพีที่ไม่ซ้ำ 42
กราฟที่ 3 จำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ 42
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง 43
ชุดกราฟที่ 1 สัดส่วนจำนวนหมายเลขไอพีไม่ซ้ำของเครือข่ายต่างๆ จำแนกตามประเภทภัยคุกคาม 44
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง 46
กราฟที่ 6 เปรียบเทียบการบุกรุกเว็บไซต์แบบต่าง ๆ 52
กราฟที่ 7 เปรียบเทียบการโจมตีเว็บไซต์แบบต่าง ๆ โดยจำแนกตามประเภทของเว็บไซต์ 53
กราฟที่ 8 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Malware URL สูงที่สุด 54
กราฟที่ 9 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Web Defacement สูงที่สุด 55
กราฟที่ 10 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Phishing สูงที่สุด 56
กราฟที่ 11 10 อันดับแรกของหมายเลขพอร์ตที่ถูกสแกนสูงสุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ 57
กราฟที่ 12 จำนวนเหตุภัยคุกคามที่ไทยเซิร์ตดำเนินการระหว่างปี 2547 - 2556 59

19
สารบัญกราฟ
กราฟที่ 13 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 60
กราฟที่ 14 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 จำแนกตามประเทศของผู้แจ้ง 61
กราฟที่ 15 สัดส่วนโดเมนที่ได้ถูกแจ้งซ้ำภัยคุกคามประเภท Fraud และ Intrusions โดยจำแนกตามประเภทของเว็บไซต์ 63
กราฟที่ 16 จำนวนรายงานมัลแวร์ที่ได้รับแจ้งจาก Microsoft ในแต่ละเดือนในปี 2556 นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ 64
กราฟที่ 17 สถิติภัยคุกคามประเภท Web Defacement จำแนกเฉพาะหน่วยงานของรัฐในภูมิภาคอาเซียนในปี 2556 72
กราฟที่ 18 สถิติภัยคุกคามประเภท Web Defacement ปี 2556 จำแนกตามประเภทหน่วยงาน (เฉพาะ .th) 73
กราฟที่ 19 จำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ของประเทศในอาเซียน+3 ได้รับแจ้งระหว่างปี 2550-2555 101
กราฟที่ 20 สัดส่วนของภัยคุกคามแต่ละประเภทที่ถูกแจ้งไปยังหน่วยงาน CERT ของแต่ละประเทศในกลุ่มอาเซียน+3 ในปี 2554 และ 2555 102

20
บทนำ
ไทยเซิร์ตภายใต้การนำของสำนักงานพัฒนา
ธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้เปิดให้
บริการต่อเนื่องมาเป็นปีที่ 3 แล้วนับตั้งแต่ที่มีมติคณะ
รัฐมนตรีเมื่อปี 2554 ให้โอนย้ายภารกิจมาจากศูนย์
เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติหรือ
NECTEC โดยทำหน้าที่เป็นหน่วยงานภาครัฐหลักที่ตอบ
สนองและจัดการกับเหตุการณ์ความมั่นคงปลอดภัย
คอมพิวเตอร์ และให้การสนับสนุนที่จำเป็นและคำ
แนะนำในการแก้ไขภัยคุกคามความมั่นคงปลอดภัย
รวมทั้งติดตามและเผยแพร่ข่าวสารและเหตุการณ์ทาง
ด้านความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ต่อ
สาธารณชน ตลอดจนทำการศึกษาและพัฒนาเครื่อง
มือและแนวทางต่าง ๆ ในการปฏิบัติเพื่อเพิ่มความ
มั่นคงปลอดภัยในการใช้คอมพิวเตอร์และเครือข่าย
อินเทอร์เน็ต ซึ่งที่ผ่านมาก็ประสบผลสำเร็จโดยอาศัย
ช่องทางความร่วมมือระหว่างเครือข่าย CERT ที่มีทั้ง
ภายในประเทศไทยและต่างประเทศช่วยเหลือซึ่งกัน
และกัน บริการของไทยเซิร์ตเป็นช่องทางสำคัญ
ที่ช่วยให้คำปรึกษาและบรรเทาความเดือดร้อน

21
ในเบื้องต้นให้แก่ประชาชนที่ได้รับผลกระทบจากโปรแกรมไม่
พึงประสงค์ การบุกรุกเข้าระบบ ความพยายามรวบรวมข้อมูล
การโจมตีสภาพความพร้อมใช้งาน การฉ้อโกง ฯลฯ ก่อนที่จะ
เข้าสู่การดำเนินการโดยผู้รักษากฎหมายต่อไป
ปัจจุบันเจ้าหน้าที่ไทยเซิร์ตสามารถรักษาระดับคุณภาพ
การให้บริการโดยดำเนินการตรวจสอบและวิเคราะห์เหตุเพื่อ
ประสานงานไปยังหน่วยงานที่เกี่ยวข้องได้ภายใน 6 ชั่วโมงหลัง
จากที่ได้รับแจ้งเหตุในช่วงวันเวลาทำการและได้ให้บริการตรวจ
พิสูจน์พยานหลักฐานดิจิทัลด้วยเจ้าหน้าที่ ผู้เชี่ยวชาญที่ได้รับ
ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ใน
ระดับสากล โดยใช้เครื่องมือและกระบวนการที่สอดคล้องกับ
มาตรฐานสากลซึ่งจะได้รับการยอมรับทั่วโลกและสามารถ
รองรับการปฏิบัติงานในรูปแบบ e-Court ต่อไปในอนาคต
ไฮไลต์ที่สำคัญในรอบปี 2556 นั้น ไทยเซิร์ตได้
ประสานงานและแจ้งเตือนภัยคุกคามที่เกิดขึ้นในประเทศไทย
จากข้อมูลที่ได้รับผ่านเครือข่าย CERT จำนวนสูงถึง 65 ล้าน
รายการ และรับมือและจัดการภัยคุกคามที่ได้รับแจ้งหรือ
ตรวจพบจำนวน 1,745 เรื่อง (เพิ่มจากปีที่แล้ว 2 เท่า) เป็น
เหตุการณ์ประเภทเจาะระบบเว็บไซต์ที่ตั้งอยู่ในประเทศไทย
1,450 เว็บไซต์ และได้ให้บริการตรวจพิสูจน์พยานหลักฐาน
ดิจิทัล จำนวน 11 เคส รวมปริมาณข้อมูลที่ทำสำเนาและ
ตรวจวิเคราะห์ 14 เทราไบต์ นอกจากนี้ ไทยเซิร์ต ยังมี
บทบาทเป็นผู้ที่ผลักดันการพัฒนาบุคลากรให้แก่หน่วยงาน
รัฐให้มีโอกาสได้เรียนและสอบประกาศนียบัตรวิชาชีพฯ เช่น
Certified Ethical Hacker (CEH) จัดการอบรมและบรรยาย
โดยผู้เชี่ยวชาญจากต่างประเทศ เช่น หลักสูตรเทคนิคการ
ตรวจพิสูจน์พยานหลักฐานดิจิทัลประเภทโทรศัพท์มือถือ
ร่วมกับสำนักงานตำรวจแห่งชาติ หลักสูตรอบรม OWASP
Open Web and Application Security Day ให้แก่ผู้พัฒนา
เว็บไทย จัดอบรมและประเมินสมรรถนะด้าน Security ให้
กับบุคลากรด้านความมั่นคงปลอดภัยด้วยมาตรฐาน Local
Certification ที่พัฒนาร่วมกับ Thailand Information
Security Association (TISA)
หนังสือรายงานประจำปีของไทยเซิร์ตฉบับนี้จัดทำขึ้นเพื่อ
รวบรวมผลการปฏิบัติงานและเผยแพร่ข้อมูลที่เป็นประโยชน์
ต่อสาธารณะ และคาดหวังว่าจะเป็นประโยชน์ทั้งในแง่ข้อมูล
สถิติเชิงวิชาการที่จะนำไปอ้างอิงและเป็นประโยชน์ต่อการ
สร้างความตระหนักแก่ประชาชนทั่วไป และสร้างความสนใจ
ให้มีผู้ที่ประกอบอาชีพด้านความมั่นคงปลอดภัยสารสนเทศใน
ประเทศไทยเพิ่มมากขึ้น อีกทั้งยังเป็นประโยชน์ต่อผู้บริหาร
ที่มีหน้าที่กำหนดนโยบายหรือแผนปฏิบัติของหน่วยงานหรือ
ตัดสินใจเกี่ยวกับนโยบายการใช้ระบบสารสนเทศอย่างมั่นคง
ปลอดภัย
สุรางคณา วายุภาพ
ผู้อำนวยการ
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

22
บทที่ 1.
ผลงานเด่นและเหตุการณ์ส คัญ ปี 2556

ThaiCERT 2013 INFOGAPHIC
1)
ผลงานดานการพัฒนาบุคลากร
200
พัฒนาบุคลากรดาน Cybersecuriy กวา
• CEH ใหเจาหนาที่ของรัฐ 20 คน
• OWASP ใหนักพัฒนาเว็บไทย 38 คน
จาก 18 หนวยงาน
• อบรมและจัดประเมินสมรรถนะ
ดาน Security ในประเทศ จำนวน 120 คน
• รวมกับ สตช. อบรม Mobile Forensics 20 คน
• อบรมจัดตั้ง LaoCERT 20 คน
บุคลากรไทยเซิรต
ใบรับรอง
ไดรับ สากลในป
252 013
เจาภาพประชุม
สัมมนานานาชาติ 2 งาน
มีผูเขารวมงานรวมกวา จาก
550
คน
59 ประเทศ
• ก.พ. : ASEAN-Japan Information Security
Workshop ผูเขารวมงาน จาก 7 ประเทศ
• มิ.ย. : 25 th Annual FIRST Conference 2013
ผูเขารวมงานจาก 59 ประเทศ
คน
• Security Techniques 13 Certs
• Digital Forensics 8 Certs
• Security Mgt& Audit 4 Certs
24
ผลงานดานสถิติของสถานการณ
2) ดานความมั่นคงปลอดภัย
รับมือและจัดการ
ภัยคุกคามไซเบอร
2012
ประสานงานและ
แจงเตือนภัยคุกคาม
ที่เกิดขึ้นในประเทศไทย
จากเครือขาย CERT ทั้งสิ้น
1,745 เรื่อง
ไดรับแจง 850 เรื่อง 65
ลาน
รายการ
ตรวจพบเอง 895 เรื่อง
เพิ่มขึ้นจาก
ป
953เรื่อง
ลาน
ซึ่งเกี่ยวของกับจำนวนไอพี
5.4หมายเลข

กรณี
3)
ผลงานดานกิจกรรม
และบริการตาง ๆ
4)
25
ผลงานดานดิจิทัลฟอเรนสิกส
ขยายเครือขายผาน
MoU 6 ฉบับ
• LaoCERT
• Computer Crime Institute
(Dixie State University)
• SANS Institute
• EC-Council
• Ministry of Internal Affairs and
Communications (Japan)
• สตช.
จัด Cyber Drill
2
ครั้ง
จำลองการโจมตีดวย Malware
มีหนวยงานภาครัฐและรัฐวิสาหกิจ
26
หนวยงาน
เวลาเฉลี่ยแกไขปญหา
คาเฉลี่ยในการปด Phishing Site
31:23 ชั่วโมง
ตรวจสอบ
ชองโหวใหกับ
28
หนวยงาน
Phishing
ตรวจพบและ
ใหคำแนะนำ
ในการแกไขชองโหว
14
และสถาบัน
การเงิน
ธนาคาร
เขารวม
ชองโหว
ตรวจพิสูจนพยาน
หลักฐานดิจิทัล
11
32
รวมปริมาณ
ขอมูลตรวจพิสูจน
อุปกรณ
14
เทราไบต

26
2013 KEY EVENT TIMELINE
กิจกรรมที่สำคัญ
เหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำคัญ
• เข้าร่วมซักซ้อมรับมือภัยคุกคามกับเครือข่าย
APCERT (APCERT Drill)
• แจ้งเตือน Web Defacement ไทยทีวีสีช่อง 3
(www.thaitv3.com)
• แจ้งเตือน Web Defacement กระทรวงวัฒนธรรม
(www.m-culture.go.th)
• เจ้าภาพจัดการประชุม “ASEAN-Japan
Information Security Policy Workshop”
• ลงนาม MoU ด้าน Cybersecurity กับ Ministry of
Internal Affairs and Communications
ประเทศญี่ปุ่น
• แจ้งเตือนและให้คาแนะนาในการแก้ไข Web
Defacement สานักงานคณะกรรมการธุรกรรมทาง
อิเล็กทรอนิกส์ (www.etcommission.go.th)
• จัดซักซ้อมรับมือภัยคุกคามให้หน่วยงานของรัฐ
(Government Cyber Drill)
• ลงนาม MoU ด้าน Digital Forensics กับ Dixie
State College of Utah’s Southwest Regional
Computer Crime Institute (SWRCCI) ประเทศ
สหรัฐอเมริกา
JANUARY FEBRUARY MARCH
• แจ้งเตือนและให้คาแนะนาในการแก้ไข Web
Defacement กระทรวงศึกษาธิการ
(www.moe.go.th)
• แจ้งเตือน ภัยมัลแวร์ Android หลอกขโมยเงินจาก
ธนาคารไทย

27
• ตรวจสอบช่องโหว่ให้กับหน่วยงานภาครัฐ 28 หน่วยงาน
APRIL
• แจ้งเตือน ระวังภัย ช่องโหว่ในแอปพลิเคชัน Viber
ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูล
ในระบบปฏิบัติการ Android
• ร่วมกับ Thailand Information Security Association
(TISA) จัดอบรมและสอบประเมินสมรรถนะบุคลากรด้าน
ความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย
• ลงนาม MoU กับ EC-Council ด้านการพัฒนาบุคลากร
ด้านไซเบอร์
MAY
• ให้คาแนะนาในการแก้ไข Web Defacement สานักงาน
ปลัดสานักนายกรัฐมนตรี (www.opm.go.th)
• ตรวจพบ แจ้งเตือน และให้คาแนะนาในการแก้ไขช่องโหว่
ของระบบบริหารจัดการเว็บโอสติ้งของไทย
• แจ้งเตือน ระวังภัย ช่องโหว่ ใน Internet Explorer 8
(CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว
• ให้การสนับสนุนข้อมูลเชิงเทคนิค การประชุมคณะ
กรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ครั้งที่ 1
• เจ้าภาพจัดงาน 25 th Annual FIRST Conference
Bangkok 2013
JUNE
• แจ้งเตือน ระวังภัย เว็บไซต์สานักข่าวหลายแห่งใน
ประเทศไทยถูกโจมตีและฝัง e-Banking Trojan

28
KEY EVENTS TIMELINE 2556
กิจกรรมที่สำคัญ
เหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำคัญ
• ร่วมกับ OWASP จัดอบรม ETDA and OWASP:
Open Web and Application Security Day
• ลงนาม MoU กับ LaoCERT ด้านการรับมือและ
จัดการภัยคุกคามไซเบอร์
JULY
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Samsung Galaxy
S3 และ Galaxy S4 เปิดให้แอปพลิเคชันใด ๆ
สามารถสร้าง SMS ปลอมหรือแอบส่ง SMS ได้
• ร่วมกับ EC-Council จัดอบรมหลักสูตร Certified
Ethical Hacker v8 (CEH) ให้ผู้เชี่ยวชาญไทย
AUGUST
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Joomla ผู้ไม่หวังดี
สามารถอัปโหลดไฟล์อันตราย เข้ามาในระบบได้
• จัดซักซ้อมรับมือภัยคุกคามให้สถาบันการเงิน
(Financial Cyber Drill)
• ลงนาม MoU กับ สานักงานตารวจแห่งชาติ
ด้านการพัฒนาศักยภาพบุคลากร และมาตรฐาน
การตรวจพิสูจน์พยานหลักฐานดิจิทัล
SEPTEMBER
• แจ้งเตือน ระวังภัย Firefox for Android มีช่องโหว่
ดาวน์โหลดแอปพลิเคชันอันตรายมาติดตั้งทันที
ที่เข้าเว็บไซต์

29
• จัดอบรมการจัดตั้ง CERT ให้กับ LaoCERT
• ลงนาม MoU กับ SANS Institute ในด้านการพัฒนา
บุคลากรด้านไซเบอร์
• เข้าร่วมซักซ้อมรับมือภัยคุกคามไซเบอร์ในภูมิภาค
ASEAN (ASEAN CERT Incident Drill)
OCTOBER
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Internet Explorer
ทุกเวอร์ชัน Microsoft ทาให้ผู้ไม่หวังดีสามารถสั่ง
ประมวลผลคาสั่งอันตรายได้ (CVE-2013-3893)
• เข้าร่วมและเผยแพร่ภารกิจของไทยเซิร์ต ในงาน ITU
Telecom World 2013 Bangkok
NOVEMBER
• ตรวจพบช่องโหว่และประสานงานกับ บ. Naver เพื่อ
แก้ไขแอปพลิเคชัน LINE ป้องกันแฮกเกอร์สามารถดักรับ
ข้อมูล และอ่านบทสนทนาได้
• แจ้งเตือน ระวังภัย ATM Skimmer และข้อควรระวัง
ในการใช้งานตู้ ATM
• เฝ้าระวังการโจมตีเว็บไซต์ของหน่วยงานสาคัญ และ
สนับสนุนบริการระบบสารองสาหรับหน่วยงานที่ถูกปิด
ล้อม ในช่วงสถานการณ์ไม่ปกติ
DECEMBER
• แจ้งเตือน ระวังภัย ช่องโหว่ของแอปพลิเคชัน LINE ผู้ใช้
งานควรอัปเดตเวอร์ชันใหม่
• แจ้งเตือน ระวังภัย ระวังภัย Microsoft แจ้งเตือน
ช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน
Adobe Reader

30
บทที่ 2.
บริการของไทยเซิร์ต

31
ในปี 2556 ไทยเซิร์ต
รับมือและจัดการภัยคุกคาม
1,745 กรณี นอกจากนี้ยังให้
บริการสำรองข้อมูลและสำรองระบบ
เมื่อบางหน่วยงานถูกปิดล้อม
ไทยเซิร์ต (ThaiCERT) หรือศูนย์ประสานการรักษาความมั่นคง
ปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ภายใต้การกำกับดูแล
ของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์(องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เริ่มให้บริการใน
เดือนธันวาคม 2554 มีบทบาทที่สำคัญในการรับมือและจัดการ
สถานการณ์ด้านความมั่นคงปลอดภัยทางออนไลน์ในขอบเขต
ครอบคลุมระบบเครือข่ายอินเทอร์เน็ตภายในประเทศไทย และ
ระบบคอมพิวเตอร์ภายใต้โดเมนเนม ประเทศไทย (.th) เป็น
ศูนย์กลางในการประสานความร่วมมือเพื่อแก้ไขและระงับ
เหตุภัยคุกคามด้านสารสนเทศ เพื่อรักษาความต่อเนื่องของการ
ดำเนินภารกิจของหน่วยงาน (Business Continuity) และการ
ให้บริการของหน่วยงานต่าง ๆ โดยเฉพาะหน่วยงานที่ถือเป็น
โครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure)
รวมถึงให้การสนับสนุนด้านเทคนิคกับหน่วยงานในสายยุติธรรม
เป้าหมายการดเนินงานของไทยเซิร์ต
• เป็นศูนย์กลางของประเทศในการประสานความ
ร่วมมือและสนับสนุนหน่วยงานในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศ
• สามารถให้บริการรับมือและจัดการภัยคุกคามด้าน
ความมั่นคงปลอดภัย เพื่อรักษาความต่อเนื่องของการ
ดำเนินภารกิจของหน่วยงาน โดยเฉพาะหน่วยงานที่
เป็นโครงสร้างพื้นฐานสำคัญของประเทศ
• จัดเตรียมบุคลากรให้มีความพร้อมและความสามารถ
ที่ได้รับการยอมรับในระดับสากล ในการรับมือและ
จัดการเหตุภัยคุกคามด้านสารสนเทศ
• สนับสนุนหน่วยงานในสายยุติธรรมในการตรวจพิสูจน์
พยานหลักฐานดิจิทัลเพื่อติดตามตัวผู้กระท ำผิดมาลงโทษ
• ส่งเสริมและสร้างความตระหนักในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศให้กับหน่วยงานและประชาชน
นอกจากนี้ การดำเนินงานของไทยเซิร์ต ยังสอดคล้องกับ
กรอบปฏิบัติที่กำหนดไว้ใน ASEAN Economic Community
Blueprint ในข้อ B4 รายการที่ 51 และ 52 ในการสร้างความ
เชื่อมั่นให้กับภาคธุรกิจและประชาชนในการทำธุรกรรมทาง
อิเล็กทรอนิกส์ และลดความเสี่ยงในการเกิดความเสียหายจาก
ภัยคุกคามด้านสารสนเทศ

บริการรับมือ
และจัดการสถานการณ์
ด้านความมั่นคงปลอดภัย
32
ไทยเซิร์ต เป็น Computer Emergency Response
Team (CERT) ระดับประเทศที่ได้รับการยอมรับเป็นตัวแทน
ประเทศไทยในเครือข่าย CERT ระหว่างประเทศ เช่น
Asia Pacific CERT (APCERT) และ Forum of Incident
Response and Security Teams (FIRST) ทำหน้าที่รับแจ้ง
เหตุภัยคุกคาม ตรวจสอบ วิเคราะห์หาสาเหตุของปัญหา และ
ประสานงานกับหน่วยงานที่เกี่ยวข้องเพื่อระงับเหตุและแก้ไข
ปัญหานั้น ๆ ปัจจุบันกำหนดระดับคุณภาพการให้บริการ
(Service Level Agreement: SLA) ในการวิเคราะห์และ
แจ้งเตือนภัยคุกคามให้กับหน่วยงานที่เกี่ยวข้องทราบภายใน
2 วันทำการ เพื่อจำกัดความเสียหายที่อาจเกิดขึ้น และฟื้นฟู
ระบบและการให้บริการโดยเร็วที่สุด ซึ่งจะยกระดับการดำเนิน
การขึ้นเป็นขั้นตอนการรับมือและจัดการภัยคุกคามในระดับ
ประเทศ (National Incident Response Flow) ในปี 2556
ไทยเซิร์ตได้ดำเนินการรับมือและจัดการสถานการณ์ด้าน
ความมั่นคงปลอดภัยไปแล้ว 1,745 กรณี แบ่งเป็นประเภท
การฉ้อฉล (Fraud) สูงสุดคิดเป็นร้อยละ 39.77 การบุกรุก
หรือเจาะระบบได้สำเร็จ (Intrusions) ร้อยละ 36.16 และ
ความพยายามจะบุกรุกเข้าระบบ (Intrusion Attempts)
ร้อยละ 18.11 ในจำนวนนี้รวมถึงการให้คำปรึกษาแก่หน่วย
งานของรัฐที่ถูกเจาะระบบเว็บไซต์เพื่อแก้ไขปัญหา นอกจาก
นี้ในช่วงเหตุการณ์ไม่ปกติทางการเมืองในปลายปี 2556
ไทยเซิร์ตได้ให้ความช่วยเหลือในการสำรองข้อมูล และจัดหา
สถานที่สำหรับติดตั้งระบบให้แก่หน่วยงานของรัฐสำคัญหลาย
แห่งที่ถูกปิดล้อมและไม่สามารถทำงานได้ตามปกติด้วย

33
บริการวิชาการ
ด้านความมั่นคงปลอดภัย
ไทยเซิร์ตให้ความสำคัญกับการพัฒนาบุคลากรเพื่อเสริม
สร้างทักษะในด้านการรักษาความมั่นคงปลอดภัย ในปัจจุบัน
ไทยเซิร์ตถือเป็นหนึ่งในองค์กรที่มีจำนวนผู้เชี่ยวชาญด้าน
ความมั่นคงปลอดภัยที่สูงมากที่สุดแห่งหนึ่งของประเทศ ได้รับ
ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ใน
ระดับสากล32 ใบจากสถาบันที่ได้รับยอมรับในระดับสากล เช่น
ISC 2 , SANS, EC-Council และ IRCA เป็นต้น ซึ่งเจ้าหน้าที่
ของไทยเซิร์ตได้นำเอาความรู้และประสบการณ์ด้านความ
มั่นคงปลอดภัยมาถ่ายทอดผ่านกิจกรรมบรรยาย สัมมนา และ
อบรมความรู้ให้กับบุคลากรหน่วยงานภายในประเทศ รวมถึง
ได้จัดกิจกรรมซักซ้อมรับมือภัยคุกคามร่วมให้กับหน่วยงาน
ภาครัฐที่สำคัญและภาคการเงินการธนาคารเป็นประจำทุก
ปี อย่างน้อยปีละ 1 ครั้ง นอกจากนี้ยังได้ร่วมมือกับสมาคม
ความมั่นคงปลอดภัยระบบสารสนเทศหรือ TISA (Thailand
Information Security Association) จัดฝึกอบรมและสอบ
วัดระดับเพื่อพัฒนามาตรฐานการรับรองบุคลากรด้านความ
มั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย และให้การ
รับรองผู้ที่สอบประเมินผ่านเกณฑ์การรับรองอีก 20 คนในปี
แรก (2556)

บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสาร
ด้านความมั่นคงปลอดภัย
34
ไทยเซิร์ตติดตามภัยคุกคามด้านสารสนเทศจากเครือข่าย
CERT ทั่วโลก รวมถึงแหล่งข่าวอื่น ๆ และนำข้อมูลมาตรวจ
สอบและวิเคราะห์ผลกระทบก่อนที่จะประกาศแจ้งเตือนภัย
ล่วงหน้า เพื่อให้หน่วยงานและประชาชนตระหนักและพร้อม
ที่จะรับมือกับเหตุการณ์ภัยคุกคามที่อาจเกิดขึ้น ผลงานใน
รอบปี ได้แก่ (1) รายงานประจำปีไทยเซิร์ต ที่รวบรวมและ
วิเคราะห์สถิติทั้งปีกับกรณีศึกษาภัยคุกคามที่น่าสนใจ (2)
หนังสือ Cyber Threat Alerts 2013 ซึ่งแจ้งเตือนภัยคุกคาม
ที่่ส่งผลกระทบเป็นวงกว้างต่อผู้ใช้งานในประเทศ (3) หนังสือ
ThaiCERT Security Articles 2013 ซึ่งเป็นการรวมบทความ
ด้านความมั่นคงปลอดภัยด้านสารสนเทศ (4) ข้อมูลเชิงสถิติ
ภัยคุกคามที่ไทยเซิร์ตประสานงานรับมือและจัดการภัยคุกคาม
ในแต่ละเดือน (5) เว็บไซต์ของไทยเซิร์ต ยังให้บริการเผยแพร่
ข้อมูลข่าวสารด้านความมั่นคงปลอดภัย ทางออนไลน์ การแจ้ง
เตือนภัยคุกคามต่าง ๆ ที่มีผลกระทบต่อผู้ใช้ในประเทศไทย
จำนวนกว่า 50 เรื่อง เช่น การแจ้งเตือน ระวังภัย เว็บไซต์
สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอก
ให้ดาวน์โหลดแอนตี้ไวรัสปลอม การแจ้งเตือน ระวังภัย ATM
Skimmer และข้อควรระวังในการใช้งานตู้ ATM และการแจ้ง
เตือนช่องโหว่ของแอปพลิเคชัน LINE

35
บริการตรวจพิสูจน์
พยานหลักฐานดิจิทัล
ศูนย์ดิจิทัลฟอเรนสิกส์ของ ไทยเซิร์ต ให้บริการตรวจพิสูจน์
พยานหลักฐานที่สอดคล้องกับมาตรฐานสากลและรองรับการก้าว
ไปสู่ e-Court ในอนาคต ทั้งนี้เพื่อให้สามารถน ำรายงานผลการ
ตรวจพิสูจน์ฯ ไปใช้อ้างอิงในศาลได้อย่างมั่นใจ มีผู้เชี่ยวชาญที่ได้
รับประกาศนียบัตรจากสถาบันที่ได้รับการยอมรับทั่วโลก ในปี
2556 ให้บริการรวมจำนวนทั้งสิ้น 11 กรณี จากหน่วยงาน เช่น
สำนักงานตำรวจแห่งชาติ กองบังคับการปราบปรามการกระ
ทำความผิดเกี่ยวกับเทคโนโลยี (ปอท.) กองบังคับการปราบปรามการ
กระทำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจ (ปอศ.) และ
สำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
รวมปริมาณข้อมูลที่ตรวจพิสูจน์ 14 เทราไบต์ ประเภทของพยาน
หลักฐานดิจิทัลที่ได้รับมามีหลายรูปแบบ เช่น เครื่องคอมพิวเตอร์
ตั้งโต๊ะ โทรศัพท์มือถือ ไฟล์อิมเมจของเครื่องแม่ข่าย ฮาร์ดดิสก์ที่
ถอดมาจากเครื่องคอมพิวเตอร์ผู้ต้องสงสัย หรือแม้แต่การไปเก็บ
พยานหลักฐานจากสถานที่เกิดเหตุ เพื่อวิเคราะห์หาร่องรอยและ
ที่มาของผู้เจาะระบบ ค้นหาพยานหลักฐานการกระท ำผิดละเมิด
ทรัพย์สินทางปัญญา ในหลายกรณีต้องใช้เทคนิคและเครื่องมือ
ที่มีความซับซ้อนมาช่วยตรวจวิเคราะห์และหาความเชื่อมโยง
ของพยานหลักฐานที่ตรวจพบ เช่น การอ่านข้อมูลจากชิปหน่วย
ความจำของโทรศัพท์มือถือโดยตรง การตรวจสอบพฤติกรรม
ของมัลแวร์ในระบบจำลองภายในห้องปฏิบัติการ เป็นต้น

บริการตรวจสอบและประเมิน
ช่องโหว่ของระบบสารสนเทศ
36
การตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ
อย่างสม่ำเสมอโดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย
ช่วยให้หน่วยงานรู้สภาพของปัญหาและช่องโหว่ของระบบ
สารสนเทศ และเป็นข้อมูลสำคัญประกอบการวางแผนและ
จัดทำแผนบริหารจัดการความเสี่ยง (Risk Management
Plan: RMP) และแผนบริหารจัดการความต่อเนื่องทางธุรกิจ
(Business Continuity Management: BCM) ของหน่วย
งาน ในปี 2556 ไทยเซิร์ตได้เปิดให้บริการตรวจสอบและ
ประเมินช่องโหว่ (Vulnerability Assessment) ของ
ระบบสารสนเทศให้แก่ส่วนราชการที่เป็นโครงสร้างพื้นฐาน
สำคัญของประเทศไทยจำนวน 28 แห่งใน 2 ลักษณะ ได้แก่
(1) การตรวจสอบและประเมินช่องโหว่ในระดับระบบปฏิบัติ
การและบริการ และ (2) การตรวจสอบช่องโหว่บนเว็บแอป
พลิเคชัน ผลพบว่ามีถึง 1,089 ช่องโหว่ที่ต้องได้รับการแก้ไข
ซึ่งไทยเซิร์ตร่วมกับสำนักมาตรฐาน สพธอ. อยู่ระหว่างการจัด
ทำร่างเอกสารมาตรฐานการรักษาความมั่นคงปลอดภัยของ
เว็บไซต์ เพื่อให้หน่วยงานในประเทศเป็นแนวทางสำหรับการ
บริหารจัดการและพัฒนาเว็บไซต์ให้มีความมั่นคงปลอดภัย

38
บทที่ 3
รายงาน THREAT & CYBERSECURITY ปี 2556

39
ในปี 2556 พบว่าภัย
คุกคามประเภท Botnet
และ Open DNS
Resolver มีจำนวน
หมายเลขไอพีที่ไม่ซ้ำกัน
และเกี่ยวข้องกับภัยคุกคาม
ทั้ง 2 ประเภทนี้สูงขึ้น
ประมาณ 10 เท่าตัว
3.1 ภัยคุกคาม
ที่ไทยเซิร์ตได้รับแจ้ง
ไทยเซิร์ตได้รับแจ้งเหตุภัยคุกคามที่เกิดขึ้น
ในขอบเขตการดำเนินงาน (Constituency)
ของไทยเซิร์ต ครอบคลุมระบบเครือข่าย
อินเทอร์เน็ตภายในประเทศไทย และระบบ
คอมพิวเตอร์ภายใต้โดเมนเนมของประเทศไทย
(.th) ผ่าน 2 ช่องทาง ประกอบด้วย ผู้เสียหาย
หรือผู้ที่มีส่วนได้ส่วนเสีย เช่น หน่วยงานของ
เครือข่าย CERT ในต่างประเทศ หรือหน่วย
งานผู้ให้บริการการรักษาความมั่นคงปลอดภัย
สารสนเทศกับผู้เสียหาย แจ้งเหตุภัยคุกคาม
โดยตรงกับไทยเซิร์ตผ่านทางอีเมลหรือโทรศัพท์
และหน่วยงานในเครือข่าย CERT ส่งข้อมูลภัย
คุกคามที่ตรวจพบในขอบเขตการดำเนินงาน
ของไทยเซิร์ตให้ผ่านระบบอัตโนมัติ ซึ่งในปี
2556 ไทยเซิร์ต ได้รับแจ้งเหตุภัยคุกคามผ่าน
ระบบอัตโนมัติ (Automatic Feed) เพิ่มเติม
จากปี 2555 ประกอบด้วย ข้อมูลภัยคุกคาม
Botnet และรายการระบบเว็บไซต์ที่ถูกเจาะ
ระบบสำเร็จ ทำให้ไทยเซิร์ตสามารถวิเคราะห์
ข้อมูลเกี่ยวกับสถานการณ์ภัยคุกคามของระบบ
เครือข่ายอินเทอร์เน็ตภายในประเทศไทย ได้
ครอบคลุมและแม่นยำมากขึ้น ซึ่งข้อมูลที่
ได้รับแจ้งทั้งหมด ไทยเซิร์ตจะดำเนินการ
วิเคราะห์ เพื่อยืนยันว่าเหตุภัยคุกคามที่ได้รับ
แจ้งได้เกิดขึ้นจริงหรือยืนยันว่าเหตุภัยคุกคาม
ได้รับแจ้งจากแหล่งข้อมูลที่น่าเชื่อถือ ก่อนจะ
ประสานไปยังผู้ที่เกี่ยวข้องเพื่อให้ด ำเนินการแก้
ปัญหาภัยคุกคามที่ได้รับแจ้งข้างต้น อีกทั้งยัง
นำข้อมูลสถานการณ์ด้านความมั่นคงปลอดภัย
ที่ได้รับแจ้งทั้งหมดในปี 2556 มาวิเคราะห์
แนวโน้มภัย คุกคามด้านสารสนเทศที่เกิดขึ้น และ
จัดทำบทวิเคราะห์สถิติสถานการณ์ด้านความ
มั่นคงปลอดภัยคอมพิวเตอร์ ในภาพรวมของ
ประเทศไทย ซึ่งสามารถนำสรุปประเด็นที่น่า
สนใจได้ ดังนี้
• รายงานภัยคุกคามที่ได้รับมากที่สุด
ผ่านระบบอัตโนมัติ เป็นภัยคุกคามประเภท
Botnet โดยมีจำนวนถึง 41,046,337 รายการ
คิดเป็นหมายเลขไอพีที่ไม่ซ้ำกันถึง 2,829,348
หมายเลข รองลงมาคือ Open DNS Resolver
และ Spam มีจำนวนหมายเลขไอพีที่ไม่ซ้ำกัน
1,695,783 และ 848,976 หมายเลข ตาม
ลำดับ
• เมื่อเปรียบเทียบกับข้อมูลในปี 2555
พบว่าภัยคุกคามประเภท Botnet และ Open
DNS Resolver มีจำนวนหมายเลขไอพีที่ไม่ซ้ำ
กันและเกี่ยวข้องกับภัยคุกคามทั้ง 2 ประเภท
นี้สูงขึ้นอย่างมีนัยสำคัญ (สูงขึ้นประมาณ 10

40
เท่าตัว) ชี้ให้เห็นถึงเครื่องคอมพิวเตอร์ในระดับ
ผู้ใช้งานในประเทศไทย ที่ยังคงเป็นจุดอ่อน
และเป็นเป้าหมายหลักของการโจมตีด้วยมัลแวร์
รวมถึงปัญหาการตั้งค่าให้บริการ DNS ซึ่งมีอยู่
เป็นจำนวนมาก
• ในปี 2556 ประเทศไทยมีจำนวน
เครื่องคอมพิวเตอร์ที่ตรวจพบว่าตกเป็นเหยื่อ
ของการติดมัลแวร์ประเภท Botnet เฉลี่ย
อยู่ที่ 60,000 เครื่องต่อวัน โดยในวันที่ได้รับ
รายงานมากที่สุด (11 เม.ย. 2556) พบเครื่อง
ติดมัลแวร์ประเภท Botnet อยู่ประมาณ
100,000 เครื่อง โดยปัจจุบัน ไทยเซิร์ต ได้
ส่งข้อมูลเครื่องที่ตรวจพบว่าติดมัลแวร์ให้กับ
ผู้ให้บริการอินเทอร์เน็ตรายที่พบว่า มีเครื่อง
ติดมัลแวร์จ ำนวนมาก ในเครือข่ายเป็นรายวัน รวม
ถึงได้ให้คำปรึกษาวิธีการแก้ไขปัญหาดังกล่าว
• จาก 10 อันดับแรกของผู้ให้บริการ
อินเทอร์เน็ตที่เป็นเจ้าของหมายเลขไอพี ที่
ได้รับแจ้งภัยคุกคามที่เกิดขึ้นใน เครือข่ายสูง
ที่สุด พบว่าใน 4 อันดับแรก ได้แก่ TOT, True
Internet, Triple T Broadband และ Jastel
Network มีจำนวนหมายเลขไอพีที่ได้รับการ
แจ้งรวมกันเป็นสัดส่วนสูงถึง 91%
• เมื่อพิจารณาภัยคุกคาม ที่เกี ่ยวกับ
การบุกรุกเว็บไซต์ ซึ่งได้แก่ Phishing, Web
Defacement และ Malware URL พบว่ามี
เครื่องคอมพิวเตอร์ที่ให้บริการเว็บไซต์ถูกบุกรุก
ประมาณ 3,000 เครื่อง โดยมากกว่าร้อยละ 50
เป็นการบุกรุกในลักษณะ Web Defacement
ในขณะที่เว็บที่เผยแพร่มัลแวร์ (Malware
URL) มีจำนวนกว่า 12,000 รายการ แสดง
ให้เห็นว่าจุดประสงค์ของผู้โจมตีไม่ได้ต้องการ
เพียงแค่ประกาศตัวว่าสามารถเจาะเว็บไซต์ได้
แต่มีจุดประสงค์ที่จะให้ผู้ใช้งานติดมัลแวร์เพื่อ
แสวงหาผลประโยชน์ในด้านอื่น ๆ ด้วย
• ในปี 2556 ไทยเซิร์ตได้รับมือและ
จัดการภัยคุกคามทั้งหมด 1,745 รายงาน
เพิ่มขึ้นมาประมาณ 2 เท่าจากปีก่อนหน้าที่
มีเพียง 792 รายงาน โดยประเภทภัยคุกคาม
ส่วนใหญ่คือ Phishing 694 รายงาน และ
Web Defacement 631 รายงาน รวมกัน
เป็นสัดส่วนกว่า 76% ของจำนวนรายงาน
ทั้งหมด ซึ่งรายงาน Web Defacement เพิ่ม
ขึ้นจากปีที่แล้วกว่า 98% เนื่องจาก ไทยเซิร์ต
มีการรวบรวมข้อมูลการเจาะระบบเว็บไซต์ใน
ประเทศไทยจากหน่วยงานในเครือข่าย CERT
เพิ่มขึ้นจากช่องทางการรับแจ้งจากหน่วยงาน
ที่ได้รับผลกระทบเพียงอย่างเดียว
ผู้โจมตีไม่ได้ต้องการเพียงแค่
ประกาศตัวว่าสามารถเจาะ
เว็บไซต์ได้ แต่มีจุดประสงค์
ที่จะให้ผู้ใช้งานติดมัลแวร์
เพื่อแสวงหาผลประโยชน์
ในด้านอื่น ๆ ด้วย

41
3.1.1 สถิติภัยคุกคาม
ด้านสารสนเทศที่ได้รับ
แจ้งผ่านระบบอัตโนมัติ
Botnet
Open DNS Resolver
Spam
Scanning
Open Proxy Server
Web Defacement
Malware URL
Phishing
Brute Force
DDoS
0 20 40 60 80 100
สัดสวน (รอยละ)
จากการศึกษาข้อมูลจำนวน ผู้ที่ได้รับ
ผลกระทบจากภัยคุกคามประเภทต่าง ๆ โดย
นับจากหมายเลขไอพีที่ได้รับแจ้งในช่วงทุกครึ่ง
ปี พบจุดที่น่าสนใจคือ จำนวนหมายเลขไอพี
ที่ไม่ซ้ำของ Botnet ในครึ่งแรกของปี 2556
เพิ่มขึ้นจากช่วงเวลาก่อนหน้าถึง 8 เท่า และ
จำนวนหมายเลขไอพีที่ไม่ซ้ำของ Open DNS
Resolver ในครึ่งหลังของปี 2556 เพิ่มขึ้น
จากช่วงเวลาก่อนหน้าถึง 9 เท่า เนื่องจาก
ไทยเซิร์ตเริ่มได้รับข้อมูลประเภท Botnet จาก
ShadowServer ในเดือนมกราคม 2556 และ
เริ่มได้รับข้อมูลประเภท Open DNS Resolver
จาก ShadowServer ในเดือนสิงหาคม 2556
ก.ค. - ธ.ค. 2555 ม.ค. - มิ.ย. 2556 ก.ค. - ธ.ค. 2556
กราฟที่ 1 จำนวนหมายเลขไอพีที่ไม่ซ้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี

42
True Internet: 2,249,472
TOT: 1,355,520
Jastel Network: 1,094,656
Triple T Broadband: 1,069,056
TT&T: 403,456
CAT Telecom: 308,224
DTAC: 266,240
SBN: 207,616
AWN: 102,400
Real Move: 65,536
True Internet: 2,249,472
TOT: 1,355,520
Jastel Network: 1,094,656
Triple T Broadband: 1,069,056
TT&T: 403,456
CAT Telecom: 308,224
DTAC: 266,240
SBN: 207,616
AWN: 102,400
Real Move: 65,536
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด
นับเฉพาะหมายเลขไอพีที่ไม่ซ้ำ
จากกราฟที่ 2 พบว่า ผู้ให้บริการอินเทอร์เน็ตที่พบกับปัญหาด้านความมั่นคงปลอดภัย
มากที่สุดคือ TOT ซึ่งมีจำนวนรายงานคิดเป็นสัดส่วนถึง 30% รองลงมาคือ True Internet
(22%) Triple T Broadband (21%) และ Jastel Network (20%) โดยจำนวนรายงานจาก
บริษัททั้ง 4 รายนี้สามารถคิดเป็นสัดส่วนรวมกันได้ถึง 93% ของจำนวนรายงานทั้งหมด และ
ยังจัดอยู่ในกลุ่มของโครงข่ายเครื่องคอมพิวเตอร์ทั้งสิ้น ในขณะที่บริษัทที่มีโครงข่ายโทรศัพท์
กราฟที่ 3 จำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด
นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ
มือถืออย่าง Real Move, DTAC และ Advanced Wireless Network นั้น แม้จะติดอยู่ใน 10
อันดับแรกด้วย แต่มีสัดส่วนของจำนวนรายงานรวมกันอยู่เพียง 4% เท่านั้น ในขณะที่กราฟที่
3 เป็นการแสดงจำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุ
ภัยคุกคามสูงสุด เมื่อนับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ

43
TOT
True Internet
Triple T Broadband
Jastel Network
CAT Telecom
SBN
Real Move
AWN
DTAC
TT&T
0 20 40 60 80 100
จากสถิติภัยคุกคามเมื่อจำแนกตามผู้ให้บริการ
อินเทอร์เน็ต พบว่าในบรรดาผู้ให้บริการ 4 อันดับ
แรกที่มีจำนวนหมายเลขไอพีที่ได้รับแจ้งสูงที่สุดนั้น
มีรายงานภัยคุกคามประเภท Botnet เป็นสัดส่วน
สูงสุด รองลงมาเป็น Open DNS Resolver และ
Spam ตามลำดับ ในขณะที่ผู้ให้บริการที่มีโครงข่าย
โทรศัพท์มือถือส่วนใหญ่จะพบรายงานภัยคุกคาม
ประเภท Spam กับ Botnet เป็นส่วนใหญ่ โดย
เฉพาะ Real Move และ Advanced Wireless
Network ที่มีรายงานที่ได้รับแจ้งเป็นภัยคุกคาม
ประเภท Botnet ทั้งหมด ทั้งนี้เมื่อนับจำนวน
รายงานของภัยคุกคามประเภท Botnet, Open
DNS Resolver และ Spam รวมกันแล้ว พบว่า
มีมากกว่า 90% ของจำนวนรายงานทั้งหมดใน
แต่ละผู้ให้บริการเครือข่าย
Botnet Open DNS Resolver Spam (Other)
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง

44
Botnet
Open DNS resolver
Spam
TOT: 30.8%
True Internet: 21.4%
Triple T Broadband: 20.4%
Jastel Network: 19.1%
CAT Telecom: 1.9%
SBN: 1.5%
Real Move: 1.1%
AWN: 0.9%
DTAC: 0.8%
TT&T: 0.4%
(Other): 1.8%
TOT: 42.2%
True Internet: 38.4%
Jastel Network: 9.1%
Triple T Broadband: 5.7%
CAT Telecom: 3.2%
ADC: 0.2%
CS Loxinfo: 0.2%
KSC: 0.1%
MoE: 0.1%
TT&T: 0.1%
(Other): 0.6%
TOT: 62.1%
Triple T Broadband: 15.8%
True Internet: 14.1%
SBN: 2.7%
DTAC: 1.7%
Jastel Network: 1.0%
ADC: 0.4%
UniNet: 0.4%
PROEN: 0.4%
CAT Telecom: 0.2%
(Other): 1.1%
Brute Force
Scanning
Open proxy server
True Internet: 24.6%
TOT: 18.9%
CAT Telecom: 10.7%
Triple T Broadband: 9.5%
MoE: 6.6%
UniNet: 6.3%
Jastel Network: 5.0%
CS Loxinfo: 2.5%
INET: 1.9%
KMUTNB: 0.9%
(Other): 12.9%
True Internet: 29.9%
Triple T Broadband: 26.8%
TOT: 21.8%
Jastel Network: 15.0%
CAT Telecom: 1.4%
CS Loxinfo: 0.9%
MoE: 0.7%
UniNet: 0.5%
BB Broadband: 0.3%
DTAC: 0.2%
(Other): 2.4%:
Triple T Broadband: 43.8%
Jastel Network: 27.1%
CAT Telecom: 14.0%
TOT: 10.8%
True Internet: 2.3%
SBN: 0.7%
MoE: 0.4%
UniNet: 0.2%
CS Loxinfo: 0.1%
Chiang Mai U.: 0.1%
(Other): 0.5%
Phishing
Malware URL
Web defacement
CAT Telecom: 26.7%
TOT: 14.7%
CS Loxinfo: 13.1%
MoE: 5.9%
Metrabyte: 5.1%
INET: 4.7%
UniNet: 3.8%
True Internet: 2.1%
ISSP: 2.0%
Siamdata Communication: 2.0%
(Other): 19.8%
CAT Telecom: 35.0%
CS Loxinfo: 15.2%
MoE: 6.2%
INET: 5.7%
Metrabyte: 4.8%
UniNet: 3.2%
World Net & Services: 2.7%
ISSP: 2.6%
PROEN: 2.5%
Triple T Broadband: 2.3%
(Other): 19.8%
CAT Telecom: 29.9%
CS Loxinfo: 13.9%
MoE: 6.4%
INET: 5.5%
UniNet: 5.4%
Metrabyte: 4.4%
World Net & Services: 2.3%
True Internet: 2.2%
TOT: 2.1%
ISSP: 1.9%
(Other): 26.0%
ชุดกราฟที่ 1 สัดส่วนจำนวนหมายเลขไอพีไม่ซ้ำของเครือข่ายต่าง ๆ จำแนกตามประเภทภัยคุกคาม

45
จุดที่น่าสังเกตคือมี
เครือข่ายของภาคการศึกษา
ได้แก่ MoE (กระทรวง
ศึกษาธิการ) และ UniNet
(เครือข่ายสารสนเทศเพื่อ
พัฒนาการศึกษา) ติดอยู่
ใน 10 อันดับแรกของแหล่ง
เกิดเหตุภัยคุกคามประเภท
Phishing และ Web
Defacement ด้วย
เมื่อพิจารณาสัดส่วนจำนวนหมายเลขไอพี
ไม่ซ้ำของเครือข่ายต่าง ๆ จำแนกตามประเภท
ภัยคุกคามแล้ว กลุ่มบริษัทที่ติดอันดับต้น ๆ ส่วน
ใหญ่แล้วจะเป็นผู้ให้บริการเครือข่ายรายใหญ่
เช่น TOT, True และ Triple T Broadband
ซึ่งไม่น่าแปลกใจเนื่องจากผู้ให้บริการเหล่านี้มี
หมายเลขไอพีอยู่ในการครอบครองเป็นจำนวน
มาก แต่มีจุดที่น่าสังเกตคือมีเครือข่ายของภาค
การศึกษา ได้แก่ MoE (กระทรวงศึกษาธิการ)
และ UniNet (เครือข่ายสารสนเทศเพื่อ
พัฒนาการศึกษา) ติดอยู่ใน 10 อันดับแรกของ
แหล่งเกิดเหตุภัยคุกคามประเภท Phishing
และ Web Defacement ด้วย
อีกประเด็นหนึ่งที่สังเกตเห็นได้ชัดก็คือ ผู้ให้
บริการอินเทอร์เน็ต บริษัท กสท โทรคมนาคม
จำกัด (มหาชน) หรือ CAT Telecom ซึ่งครอบ
ครองจำนวนหมายเลขไอพี เพียง 308,224
หมายเลข แต่กลับได้รับผลกระทบจากปัญหา
ภัยคุกคามใกล้เคียงกับกลุ่มบริษัทที่มีหมายเลข
ไอพีจำนวนมากเป็นอันดับต้น ๆ โดยเฉพาะ
อย่างยิ่งในภัยคุกคามประเภท Malware URL,
Phishing และ Web Defacement ที่ CAT
Telecom มีจำนวนหมายเลขไอพีที่ได้รับแจ้ง
เป็นอันดับหนึ่ง นอกจากนี้ เครือข่ายของ CAT
Telecom ยังประสบปัญหาภัยคุกคามประเภท
Open proxy Server มากกว่า TOT ทั้งที่มี
หมายเลขไอพีน้อยกว่าถึง 4 เท่า โดยสาเหตุ
นั้นสันนิษฐานว่าเกิดจากรูปแบบการให้บริการ
ของ CAT Telecom ที่ส่วนใหญ่จะเปิดให้
บริการสำหรับองค์กร สอดคล้องกับลักษณะ
ของประเภทภัยคุกคามที่กล่าวมาข้างต้น ที่
จะเกิดเฉพาะกับเครื่องแม่ข่าย
ภัยคุกคามเกือบทุกประเภทจะมีการ
แจ้งรายงานกระจายไปยังบริษัทหลายแห่ง
ในสัดส่วนที่แตกต่างกันไป ยกเว้นภัยคุกคาม
ประเภท Spam เท่านั้นที่มีสัดส่วนการแจ้ง
รายงานเกิดขึ้นกับผู้ให้บริการอินเทอร์เน็ตเพียง
รายเดียวมากกว่าครึ่งหนึ่ง ซึ่งก็คือ TOT ที่มี
สัดส่วนสูงถึง 62%

46
3.1.1.1 Botnet
มัลแวร
ปที่เริ่มพบ
ความสามารถ
DoS สง Spam ขโมยขอมูล ติดตั้งมัลแวรอื่น อื่น ๆ
Conficker
2551
Zeus
2550
ZeroAccess
2554
Sality
2546
Pushdo
2550
Conficker: 46.2%
Zeus: 13.5%
ZeroAccess: 11.8%
Sality: 11.6%
Pushdo: 7.6%
Citadel: 5.8%
Slenfbot: 1.5%
Gameover: 0.6%
Kelihos: 0.3%
Dorkbot: 0.2%
(Other): 0.9%
Citadel
Slenfbot
Gameover
Kelihos
2554
2550
2554
2553
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง
Dorkbot
2546
ตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก

47
ความสามารถของมัลแวร์ที่จำแนกไว้ในตารางข้างต้นนั้น
แบ่งออกเป็น 5 หัวข้อ โดยมีรายละเอียดดังต่อไปนี้
1. ความสามารถในการโจมตีแบบดอส (DoS) ตัวอย่าง
เช่น Pushdo สามารถโจมตีเว็บไซต์ที่ใช้ SSL โดยใช้
วิธีส่งข้อมูลที่ผิดปกติเข้าไปจำนวนมาก ทำให้เครื่อง
บริการเว็บต้องทำงานหนักจนไม่สามารถให้บริการได้
2. ความสามารถในการเป็นเครื่องมือส่งสแปม (Spam)
ตัวอย่างเช่น Kelihos ที่แพร่กระจายในปี 2011 ถูกผู้
ไม่หวังดีใช้เป็นเครื่องมือในการส่งสแปมเกี่ยวกับการ
เคลื่อนไหวทางการเมืองในยุโรป เป็นต้น
3. ความสามารถในการขโมยข้อมูลต่าง ๆ (โจรกรรม
ข้อมูล) ที่เก็บไว้ในเครื่องคอมพิวเตอร์แล้วส่งกลับไป
ให้กับผู้ไม่หวังดี รวมถึงการลักลอบบันทึกประวัติการ
กดแป้นพิมพ์ที่เรียกกันว่า Key Logging ตัวอย่างที่
เป็นที่รู้จัก คือ Zeus ซึ่งถือว่าเป็น Banking Malware
เพราะมีพฤติกรรมขโมยชื่อผู้ใช้และรหัสผ่านของ
บริการธนาคารออนไลน์เป็นหลัก
4. ความสามารถในการติดตั้งมัลแวร์อื่น ๆ ซึ่งเรียก
พฤติกรรมนี้ว่า Dropper เช่น Pushdo ที่มีการ
รายงานว่า มีการใช้เป็นเครื่องมือเพื่อติดตั้งมัลแวร์
Cutwail ซึ่งมีพฤติกรรมในการส่งสแปม
5. ความสามารถอื่น ๆ ที่ไม่สอดคล้องกับ 4 กลุ่มข้างต้น
เช่น การปิด Windows Update หรือรบกวนการ
ทำงานของโปรแกรมแอนตี้ไวรัส ตัวอย่างของมัลแวร์
ที่มีพฤติกรรม เช่น นี้ได้แก่ Sality ที่สามารถปิดการ
ทำงานของ Windows Firewall เป็นต้น
สำหรับภัยคุกคามประเภท Botnet ซึ่ง 97% ของรายงาน
มีระบุชื่อมัลแวร์นั้น พบว่ามัลแวร์ที่ได้รับแจ้งมากที่สุดคือ
Conficker กว่า 46% รองลงมาคือ Zeus (14%), ZeroAccess
(12%), Sality (12%) และ Pushdo (8%) ซึ่งใน 5 อันดับแรก
นี้นอกจาก ZeroAccess ที่ถูกค้นพบครั้งแรกเมื่อปี 2554 แล้ว
มัลแวร์ตัวอื่น ๆ นั้นล้วนเป็นมัลแวร์ที่ถูกค้นพบมาเป็นเวลา
นานมากกว่า 5 ปีขึ้นไปทั้งสิ้น โดยเฉพาะ Conficker ที่ทาง
Microsoft ได้ออกประกาศแจ้งเตือน รวมถึงออกแพทช์และ
วิธีแก้ไขช่องโหว่ที่มัลแวร์ใช้ในการโจมตีมาตั้งแต่ปี 2551 1 ซึ่ง
1 Microsoft, https://technet.microsoft.com/en-us/library/
security/ms08-067.aspx
เป็นไปได้ว่า เครื่องคอมพิวเตอร์อาจติดมัลแวร์เหล่านี ้มาเป็น
เวลานานแล้ว หรือระบบยังคงมีช่องโหว่เก่า ๆ ที่เคยไม่ได้
รับการแก้ไข จึงเป็นช่องทางให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์
เก่าหรือใหม่ สามารถเข้ามาโจมตีระบบได้ ซึ่งแสดงให้เห็นว่า
ประเทศไทยมีเครื่องคอมพิวเตอร์จำนวนมากที่ยังขาดการดูแล
รักษาด้านความมั่นคงปลอดภัย
เครื่องคอมพิวเตอร์ยังคงมีช่องโหว่
เก่า ๆ ที่ไม่ได้รับการแก้ไข เปิดโอกาส
ให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์เก่า
หรือใหม่สามารถเข้ามาโจมตีระบบได้
แสดงให้เห็นว่าประเทศไทยมีเครื่อง
คอมพิวเตอร์จำนวนมากที่ยังขาดการ
ดูแลรักษาด้านความมั่นคงปลอดภัย

48
Botnet ที่ได้รับแจ้ง
เป็นมัลแวร์ที่มีเป้าหมายในการ
ขโมยข้อมูลส่วนบุคคลที่ใช้ในการ
19%ของรายงาน
ทำธุรกรรมออนไลน์โดยตรง เช่น
รหัสผ่านของบัญชีผู้ใช้และเลขบัตรเครดิต
อีกประเด็นหนึ่งที่น่าสนใจก็คือ 19% ของ
รายงาน Botnet ที่ได้รับแจ้ง เป็นมัลแวร์ที่มี
เป้าหมายในการขโมยข้อมูลส่วนบุคคลที่ใช้ใน
การทำธุรกรรมออนไลน์โดยตรง เช่น รหัสผ่าน
ของบัญชีผู้ใช้และเลขบัตรเครดิต โดยมัลแวร์
ที่ได้รับแจ้งสูงที่สุด 5 อันดับแรกคือ Zeus,
Citadel, Gameover (พัฒนาต่อยอดมาจาก
Zeus), Bamital และ Black Energy รายงาน
ของ Kaspersky ที่ระบุว่ามัลแวร์ประเภทนี้
รวมถึงมัลแวร์ตัวอื่น ๆ มีจุดประสงค์ในการ
สร้างผลประโยชน์ทางการเงินให้กับผู้ไม่หวังดี
นั้น มีจำนวนเพิ่มสูงขึ้นกว่า 27.6% เมื่อเทียบ
กับปี 2555 2 ไทยเซิร์ตเองก็ได้รับแจ้งและตรวจ
พบมัลแวร์บนระบบปฏิบัติการ Android หลาย
ตัวที่มีความสามารถในลักษณะดังกล่าว ตาม
บทความแจ้งเตือนที่ได้เผยแพร่บนเว็บไซต์
ของไทยเซิร์ต ตลอดปี 2556 แสดงให้เห็น
ว่า อัตราการเติบโตของมัลแวร์ประเภทนี้
มีแนวโน้มจะเพิ่มสูงขึ้นอีกในปี 2557 โดย
2 Kaspersky, http://www.kaspersky.com/
about/news/virus/2014/Kaspersky-Labstatistics-attacks-involving-financialmalware-rise-to-28-million-in-2013
เฉพาะบนระบบปฏิบัติการของอุปกรณ์พกพา
เนื่องจากในปัจจุบันสมาร์ตโฟนและแท็บเล็ต
ได้กลายเป็นอุปกรณ์ที่ผู้คนนิยมใช้งานในชีวิต
ประจำวัน ในขณะที่ระบบปฏิบัติการและแอป
พลิเคชันของอุปกรณ์เหล่านี้ยังไม่มีมาตรการ
รักษาด้านความมั่นคงปลอดภัย ที่ดีทัดเทียม
กับระบบปฏิบัติการบนคอมพิวเตอร์ทั่วไปได้
ทำให้ อุปกรณ์พกพาตกเป็นเป้าหมายอันดับ
แรก ๆ ในการโจมตีจากผู้ไม่หวังดี
อย่างไรก็ตาม ทาง Microsoft เองก็ได้
ร่วมมือกับ FBI และหน่วยงานอื่น ๆ ที่มีหน้า
ที่รับผิดชอบและได้รับผลกระทบจากมัลแวร์
ในการเข้ายึดเครื่องแม่ข่ายที่เป็นเครื่องควบคุม
และสั่งการ Botnet หลายโครงการ ยกตัวอย่าง
เช่น ในเดือนมิถุนายน 2556 ได้เข้ายึดเครื่อง
แม่ข่ายที่ควบคุม Botnet ที่ติดมัลแวร์ Citadel
ภายใต้ปฏิบัติการที่ชื่อ Operation b54 3 และ
ในเดือนธันวาคม 2556 ก็ได้เข้ายึดเครื่องแม่ข่าย
3 Microsoft, http://www.microsoft.com/eu/
on-the-issues/article/microsoft-workswith-financial-services-industry-leaderslaw-enforceme.aspx
ปัจจุบันสมาร์ตโฟนและแท็บเล็ตได้กลายเป็นอุปกรณ์ที่ผู้คนนิยมใช้งาน
ในชีวิตประจำวัน ในขณะที่ระบบปฏิบัติการรวมถึงแอปพลิเคชันของ
อุปกรณ์เหล่านี้ยังไม่มีมาตรการรักษาด้านความมั่นคงปลอดภัยที่ดี
ทัดเทียมกับระบบปฏิบัติการบนคอมพิวเตอร์ทั่วไปได้
ทำให้ อุปกรณ์พกพา ตกเป็น
เป้าหมายอันดับแรก ๆ ในการโจมตีจากผู้ไม่หวังดี

49
ที่ควบคุม Botnet ที่ติดมัลแวร์ ZeroAccess 4
ซึ่งคาดว่าผลจากปฏิบัติการเหล่านี้จะทำให้
จำนวน Botnet ที่พบในปี 2557 ลดลง
สำหรับสถิติจำนวนหมายเลขไอพีที่ไม่ซ้ำ
กันของ Botnet ที่มีสูงถึง 2.8 ล้านหมายเลข
นั้น พบว่าการคำนวณโดยการนับจำนวน
หมายเลขไอพีที่ไม่ซ้ำตลอดปี 2556 อาจไม่
สามารถสะท้อนจำนวนเครื่องคอมพิวเตอร์ที่
มีปัญหา Botnet ได้อย่างถูกต้อง เนื ่องจาก
รูปแบบการใช้หมายเลขไอพี ในเครือข่าย
บรอดแบนด์ตามบ้านโดยส่วนใหญ่ จะไม่มีการ
กำหนดหมายเลขไอพีจริงให้กับผู้ใช้แต่ละราย
อย่างถาวร หมายเลขไอพีใหม่จะถูกกำหนดให้
ผู้ใช้งานทุกครั้งที่เริ่มใช้งาน และมีอายุในการ
ใช้งานหมายเลขไอพีนี้ เป็นเวลาจำกัดประมาณ
24 ชั่วโมง โดยหลังจากหมดอายุการใช้งาน
หมายเลขไอพีนี้แล้ว ผู้ให้บริการอินเทอร์เน็ต
จะกำหนดหมายเลขไอพีใหม่ให้
ด้วยเหตุนี้ เครื่องคอมพิวเตอร์ที่ติดมัลแวร์
ประเภท Botnet อาจถูกนับว่าว่าพบ Botnet
ทุกวันด้วยหมายเลขไอพีที่ต่างกัน ทำให้การ
คำนวณจำนวนเครื่องคอมพิวเตอร์ที่ติดมัลแวร์
ประเภท Botnet ด้วยวิธีการนับหมายเลขไอพีที่
ไม่ซ้ำ ที่พบตลอดทั้งปี มีความคลาดเคลื่อน จาก
ความเป็นจริงค่อนข้างมาก ดังนั้นจึงได้มีหลัก
การในการคำนวณจำนวนเครื่องคอมพิวเตอร์
ที่ติดมัลแวร์ประเภท Botnet อีกรูปแบบหนึ่ง
คือ การใช้จำนวนสูงสุดของหมายเลขไอพีที่ ไม่
ซ้ำกันในรายงานของแต่ละวันจากข้อมูลทั้งปี5
ซึ่งมีจำนวนเท่ากับ 105,232 หมายเลข นั่น
หมายความว่า มีเครื่องคอมพิวเตอร์จำนวน
ไม่น้อยกว่าหนึ่งแสนเครื่องในประเทศไทย
ที่ติด Botnet และในความเป็นจริงอาจมี
จำนวนมากกว่านี้ เนื่องจากในระบบเครือ
ข่ายโดยทั่วไป มักมีคอมพิวเตอร์หลายเครื่อง
ที่เชื่อมต่อกับอินเทอร์เน็ตโดยใช้หมายเลขไอ
พีจริงร่วมกัน ส่วนภัยคุกคามประเภท Open
Proxy Server, Web Defacement, Malware
URL และ Phishing นั้น ยังคงสามารถใช้
วิธีการคำนวณ โดยการนับจำนวนหมายเลข
ไอพีที่ไม่ซ้ำตลอดทั้งปีได้ เนื่องจากภัยคุกคาม
ประเภทเหล่านี้จะเกิดกับเครื่องแม่ข่าย ซึ่ง
มักได้รับการกำหนดหมายเลขไอพีจริงไว้โดย
ไม่ได้มีการเปลี่ยนแปลง
มีเครื่องคอมพิวเตอร์
จำนวนไม่น้อยกว่า
หนึ่งแสนเครื่องใน
ประเทศไทยที่ติด Botnet
และในความเป็นจริงอาจมี
จำนวนมากกว่านี้ เนื่องจาก
ในระบบเครือข่ายโดย
ทั่วไป มักมีคอมพิวเตอร์
หลายเครื่องที่เชื่อมต่อกับ
อินเทอร์เน็ตโดยใช้หมายเลข
ไอพีจริงร่วมกัน
4 Microsoft, http://www.microsoft.com/
en-us/news/press/2013/dec13/12-
05zeroaccessbotnetpr.aspx
5 CERT Polska. https://www.cert.pl/PDF/
Report_CP_2013.pdf

50
3.1.1.2 Open DNS Resolver นอกจาก Botnet แล้ว Open DNS
Resolver ก็เป็นภัยคุกคามอีกประเภทหนึ่งที่
พบเป็นจำนวนมากในประเทศไทย โดย Open
DNS Resolver คือเครื่องคอมพิวเตอร์หรือ
อุปกรณ์เครือข่ายใด ๆ ก็ตามที่เปิดให้บริการ
Recursive DNS แก่ผู้ใช้ทุกรายที่เข้ามาขอใช้
บริการ ทำให้ผู้ไม่หวังดีอาศัยหลักการทำงาน
ในส่วนนี้โจมตีระบบด้วยการส่งคำร้องขอไปยัง
Open DNS Resolver เป็นจำนวนมาก โดย
ปลอมแปลงหมายเลขไอพีของตนให้กลายเป็น
หมายเลขไอพีของระบบเป้าหมายที่จะโจมตี
ทำให้เมื่อ Open DNS Resolver ดังกล่าวได้
รับคำร้องขอ จะส่งคำตอบกลับไปยังระบบ
เป้าหมายที่ผู้ไม่หวังดีต้องการโจมตี และเมื ่อ
ระบบที่ถูกโจมตี ได้รับข้อมูลเป็นจำนวนมาก
จนกระทั่งแบนด์วิดท์ของเครือข่ายมีการใช้งาน
รูปที่ 1 ลักษณะการโจมตีด้วยเทคนิค DNS Amplification Attack (ที่มา: secureworks.com) จนเต็ม ก็จะส่งผลให้ระบบดังกล่าวไม่สามารถ
ให้บริการตามปกติต่อไปได้
ทั้งนี้สาเหตุสำคัญที่ทำให้ Open DNS
Resolver สามารถนำไปใช้เป็นเครื่องมือใน
การโจมตีมีอยู่ด้วยกัน 2 ส่วนคือ การเปิดให้
บริการแบบสาธารณะที่ไม่ว่าใครก็ตามสามารถ
เข้ามาขอใช้บริการได้ และการเปิดใช้งานฟังก์ชัน
Recursive DNS ซึ่งหมายความว่าระบบที่เปิด
ใช้งานฟังก์ชันดังกล่าวจะเป็นผู้ค้นหาและส่งคำ
ตอบสุดท้ายกลับไปยังผู้ใช้ โดยไม่ได้ส่งคำตอบ
เป็นที่อยู่ของ DNS Server ตัวอื่นเพื่อให้ผู้ใช้ไป
ร้องขอข้อมูลเพิ่มเติมเอง ด้วยสาเหตุข้อแรกที่
เป็นการเปิดช่องทางให้ผู้ไม่หวังดีสามารถเริ่ม
ทำการโจมตีได้ ร่วมกับสาเหตุข้อที่สองที่เปิด
โอกาสให้ผู้ไม่หวังดี สามารถส่งคำร้องขอที่
โดยทั่วไปมีขนาดเล็ก แต่ได้คำตอบที่มีขนาด
ใหญ่กว่าหลายเท่ากลับมา ทำให้การโจมตี
วิธีนี้สามารถทำได้ง่าย และมีประสิทธิภาพสูง
โดยไม่จำเป็นต้องใช้ทรัพยากร ระบบจำนวนมาก
โดยรูปแบบการโจมตีที่ผู้ไม่หวังดีนิยมใช้คือการ

51
สั่งการให้ Botnet ส่งคำร้องขอไปยัง Open
DNS Resolver หลาย ๆ ตัวเพื่อทำการโจมตี
ระบบเป้าหมายพร้อมกัน เกิดเป็นการโจมตีที่
เรียกว่า DNS Amplification Attack ซึ่งเป็น
เทคนิคหนึ่งของการโจมตีแบบ Distributed
Denial-of-Service (DDoS) ที่ได้รับความ
นิยมในปัจจุบัน ดังจะเห็นได้จากข่าวในเดือน
มีนาคม 2556 เกี่ยวกับการโจมตีครั้งใหญ่ด้วย
เทคนิคดังกล่าว โดยมีเป้าหมายเป็นระบบของ
Spamhaus ซึ่งเป็นหน่วยงานไม่แสวงผลกำไร
ที่มีภารกิจในการแก้ไขปัญหาสแปม ถึงแม้ว่า
การโจมตีวิธีนี้จะไม่ได้ส่งผลกระทบร้ายแรงต่อ
Open DNS Resolver โดยตรง แต่ถ้า Open
DNS Resolver เหล่านี้ได้รับการตั้งค่าให้เหมาะ
สมแล้ว ก็จะมีส่วนช่วยให้ระดับความรุนแรง
ของการโจมตีด้วยเทคนิคดังกล่าวในภาพรวม
ลดลงไปได้ อย่างไรก็ตาม นอกจากโพรโทคอล
DNS แล้ว ก็ยังมีโพรโทคอลอื่น ๆ ที่อาจนำมา
ใช้ในการโจมตีในลักษณะเดียวกันได้ เช่น NTP
และ SNMP ซึ่งมักเป็นโพรโทคอลที่ทำงานอยู่
บนโพรโทคอล UDP
ในส่วนของสถิติภัยคุกคามประเภท Open
DNS Resolver นั้น พบว่าได้รับแจ้งเฉลี่ยเกือบ
60,000 หมายเลขไอพีต่อวันซึ่งเป็นตัวเลขที่
ใกล้เคียงกับสถิติของ Botnet และในวันที่
ได้รับรายงานมากที่สุดพบว่า มีจำนวนสูงถึง
260,000 หมายเลขไอพี จากการตรวจสอบ
กลุ่มหมายเลขไอพีตัวอย่างนั้น พบว่ามีทั้ง
หมายเลขไอพีของเครื่องแม่ข่าย และเราเตอร์
สำหรับองค์กรไปจนถึงเราเตอร์ที่ใช้ตามบ้าน
ซึ่งสาเหตุที่ทำให้พบ Open DNS Resolver
บนอุปกรณ์หลากหลายชนิด ในปริมาณมาก
เช่นนี้ สันนิษฐานว่าอาจเกิดจากทั้งการตั้งค่า
ระบบโดยผู้ดูแล รวมถึงการตั้งค่ามาตรฐานจาก
ผู้ผลิตที่ไม่รัดกุมพอ อย่างไรก็ตาม การตรวจ
สอบหมายเลขไอพีที่ได้รับรายงานทั้งหมดเพื่อ
ประเมินสัดส่วนของ Open DNS Resolver
จำแนกตามประเภทของอุปกรณ์นั้น ยังทำได้
ยาก เนื่องจากยังไม่มีเครื่องมืออัตโนมัติที่
สามารถตรวจสอบ และจำแนกประเภทของ
อุปกรณ์ได้อย่างแม่นยำ อีกทั้งข้อมูล Open
DNS Resolver ที่ไทยเซิร์ตได้รับแจ้งนั้นจะ
ย้อนหลังไปประมาณ 1-2 วัน และหมายเลข
ไอพีที ่ได้รับแจ้งส่วนหนึ่ง ก็เป็นหมายเลข
ไอพีประเภท Dynamic ทำให้หมายเลขไอพี
หนึ่ง ๆ ณ เวลาที่ทำการตรวจสอบนั้น อาจ
เป็นของอุปกรณ์คนละตัวกับเมื่อเวลาที่ได้รับ
แจ้งข้อมูล ดังนั้น ไทยเซิร์ตจึงได้พัฒนาระบบ
สำหรับตรวจสอบอุปกรณ์ที่เป็น Open DNS
Resolver ในประเทศไทยขึ้นมาเอง และคาด
ว่าในอนาคตจะสามารถพัฒนาเครื่องมือ เพื่อ
ตรวจสอบและรวบรวมข้อมูลรายละเอียดของ
อุปกรณ์เหล่านี้ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น
ไทยเซิร์ตได้พัฒนาระบบ
สำหรับตรวจสอบอุปกรณ์
ที่เป็น Open DNS
Resolver ในประเทศไทย
ขึ้นมาเอง และคาดว่าใน
อนาคตจะสามารถพัฒนา
เครื่องมือเพื่อตรวจสอบและ
รวบรวมข้อมูลรายละเอียด
ของอุปกรณ์เหล่านี้ได้อย่างมี
ประสิทธิภาพมากยิ่งขึ้น

52
3.1.1.3 Web Attack ในการเปรียบเทียบการบุกรุก เว็บไซต์
แบบต่าง ๆ นับตามหมายเลขไอพีที่ไม่ซ้ำ
15k
12.5k
10k
7.5k
5k
2.5k
0k
Malware URL Web Defacement Phishing
จำนวน URL ที่ไมซ้ำ
จำนวนหมายเลขไอพีที่ไมซ้ำ
กราฟที่ 6 เปรียบเทียบการบุกรุกเว็บไซต์แบบต่าง ๆ
กัน ซึ่งแสดงให้เห็นถึง จำนวนเครื่องแม่ข่าย
ที่ถูกเจาะระบบนั้น พบว่าการบุกรุกประเภท
Web Defacement เกิดขึ้นมากที่สุดถึง 1,430
หมายเลข ส่วนการบุกรุกประเภท Malware
URL และ Phishing มีจำนวนที่ใกล้เคียง
กันคือ 874 และ 746 หมายเลขตามลำดับ
ในขณะที่การเปรียบเทียบการบุกรุกเว็บไซต์ที่
แยกตาม URL ที่ไม่ซ้ำกัน เพื่อพิจารณาในมุม
ของการนำเว็บไซต์ไปโจมตีผู้อื่นนั้น พบว่าการ
บุกรุกประเภท Malware URL จะเกิดขึ้นมาก
ที่สุด ด้วยจำนวน URL ที่มีการใช้เพื่อเผยแพร่
มัลแวร์ถึง 11,917 รายการ มากกว่าการบุกรุก
ประเภท Phishing กว่า 3 เท่า อย่างไรก็ตาม
ภัยคุกคามประเภท Phishing ก็ส่งผลกระทบ
ที่รุนแรงไม่น้อยไปกว่าการบุกรุกแบบอื่น ๆ
เนื่องจากเป็นภัยคุกคามที่สร้างความเสียหายต่อ
ประชาชนทั่วไปและธุรกิจขององค์กรโดยตรง
นอกจากนี้ สิ่งที่น่าสนใจอีกประเด็นหนึ่ง
คือสัดส่วนของจำนวน URL ต่อหมายเลขไอพี
ซึ่งแสดงถึงความหนาแน่นของปริมาณการนำ
เว็บไซต์ไปใช้ในการโจมตีผู้อื่นต่อหมายเลขไอพี
ตัวเดียว โดยการบุกรุกประเภท Malware URL
นี้มีสัดส่วนในปริมาณสูงสุดถึง 13.6 URL ต่อ
หมายเลขไอพี ในขณะที่ Phishing มีสัดส่วน
น้อยกว่า Malware URL กว่าครึ่งหนึ่ง

53
Unknown (IP address): 7.6%
(Other): 5.6%
.net: 4.2%
.co.th: 6.7%
.ac.th: 16.7%
.go.th: 21.5%
.ac.th: 8.2%
.co.th: 16.0%
.com: 53.3%
.go.th: 5.2%
.com: 45.3%
(Other): 9.8%
(Other): 6.1%
.com: 34.9%
.net: 11.4%
.ac.th: 5.2%
กราฟที่ 7 เปรียบเทียบการโจมตีเว็บไซต์แบบต่าง ๆ โดยจำแนกตามประเภทของเว็บไซต์
Unknown
(IP address): 25.1%
.go.th: 17.2%
Malware URL
Web defacement
Phishing
เมื่อเปรียบเทียบการโจมตีเว็บไซต์ แบบ
ต่าง ๆ โดยจำแนกตามประเภทของเว็บไซต์
แล้ว พบว่าเว็บไซต์ของหน่วยงานภาคเอกชน
(.com) ได้รับผลกระทบ เป็นอันดับหนึ่งใน
การโจมตีทุกประเภท ในขณะที่เว็บไซต์ของ
หน่วยงานภาครัฐ (go.th) ได้รับผลกระทบจาก
Malware URL กับ Web Defacement สูงเป็น
อันดับที่ 2 และอยู่ในอันดับที่ 5 ของการโจมตี
ประเภท Phishing และเมื่อพิจารณาจำนวน
เว็บไซต์ภายใต้โดเมน .com และ .co.th ที่ได้
รับผลกระทบจากการโจมตีประเภท Phishing
พบว่ามีสัดส่วนที่สูงเกือบ 70% ส่วนเว็บไซต์
ของหน่วยงานด้านการศึกษา (.ac.th) นั้น พบ
การโจมตีประเภท Web Defacement จำนวน
มากที่สุดเมื่อเปรียบเทียบกับประเภทอื่น ๆ
เว็บไซต์ของหน่วยงาน
ภาคเอกชน (.com)
ได้รับผลกระทบเป็น
อันดับหนึ่งในการโจมตีทุก
ประเภท ในขณะที่เว็บไซต์
ของหน่วยงานภาครัฐ
(go.th) ได้รับผลกระทบจาก
Malware URL กับ Web
Defacement สูงเป็น
อันดับที่ 2 และอยู่ในอันดับ
ที่ 5 ของการโจมตีประเภท
Phishing

54
203.172.205.22
obec.go.th
phichit.net
kasettoday.com
winnerwideworld.com
ppdho.com
thaigoodview.com
winnerwideworld.co.th
dmf.go.th
watpa-pathomchai.com
ใน 10 อันดับแรกของ โดเมนเนม ที่มีรายงาน Malware URL สูง
ที่สุดเมื่อนับตามจำนวน URL ที่ไม่ซ้ำนั้น พบว่ามีเว็บไซต์ของหน่วยงาน
ภาครัฐติดอยู่ในอันดับต้น ๆ หลายแห่ง ยกตัวอย่างเช่นเว็บไซต์สำนักงาน
เขตพื้นที่การศึกษาประถมศึกษาเพชรบุรี เขต 2 (203.172.205.22) ที่
ได้รับจำนวนรายงานสูงที่สุดกว่า 2,593 รายการ คิดเป็นสัดส่วนถึง 22%
ของรายงานทั้งหมดใน 10 อันดับแรก ในขณะที่เว็บไซต์ภายใต้โดเมน
obec.go.th ซึ่งส่วนใหญ่เป็นเว็บไซต์ของสำนักงานเขตพื ้นที่การศึกษา
นั้นมีจำนวนรายงานกว่า 1,501 รายการ และเว็บไซต์ phichit.net ของ
สำนักงานเขตพื้นที่การศึกษาพิจิตร เขต 1 มีจำนวนรายงานถึง 1,092
รายการ ซึ่งสาเหตุที่ทำให้เว็บไซต์ของหน่วยงานภาครัฐติดอยู่ใน 10 อันดับ
แรกหลายแห่งนั้น อาจเกิดจากการที่ผู้ดูแลเว็บไซต์ไม่ได้แก้ไขช่องโหว่เมื่อ
ได้รับคำแจ้งเตือน หรือแก้ไขด้วยการลบเฉพาะไฟล์มัลแวร์ แต่ไม่ได้แก้ไข
ช่องโหว่ของเว็บไซต์ ทำให้ผู้ไม่หวังดีสามารถย้อนกลับมาโจมตีผ่านทาง
ช่องโหว่เดิม ส่งผลให้ได้รับแจ้งรายงานของเว็บไซต์เดิม ๆ อยู่หลายครั้ง
0 500 1000 1500 2000 2500 3000
กราฟที่ 8 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Malware URL สูงที่สุด

55
brm3.go.th
ru.ac.th
cad.go.th
moph.go.th
pkn2.go.th
swu.ac.th
doae.go.th
kku.ac.th
psu.ac.th
เมื่อพิจารณา โดเมนเนม ที่มีจำนวนรายงาน URL ของการ
โจมตีประเภท Web Defacement สูงสุด 10 อันดับแรก จะพบ
ว่าเป็นเว็บไซต์ของหน่วยงานภาครัฐ และภาคการศึกษาอย่าง
ละครึ่ง โดยอันดับหนึ่งเป็นเว็บไซต์สำนักงานเขตพื้นที่การศึกษา
ประถมศึกษาบุรีรัมย์ เขต 3 (brm3.go.th) รองลงมาคือเว็บไซต์
ของมหาวิทยาลัยรามคำแหง (ru.ac.th) และกรมตรวจบัญชี
สหกรณ์ (cad.go.th) ตามลำดับ นอกจากนี้ยังพบหน่วยงานสำคัญ
อย่างเช่น สำนักงานปลัดกระทรวงสาธารณสุข (ru.ac.th) และ
กรมส่งเสริมการเกษตร (doae.go.th) อยู่ในรายการด้วย ทั ้งนี้
ผู้ไม่หวังดีที่โจมตีเว็บไซต์แทบทั้งหมด เป็นกลุ่มแฮกเกอร์จาก
ต่างประเทศที่มีจุดมุ่งหมายในการสร้างชื่อเสียงให้กับตนเอง โดยไม่
ได้มีเป้าหมายจะโจมตีเว็บไซต์แห่งใดแห่งหนึ่งอย่างเฉพาะเจาะจง
แต่เน้นไปที่จำนวนเว็บไซต์ที่สามารถเจาะระบบได้
ku.ac.th
0 20 40 60 80 100 120 140 160
กราฟที่ 9 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Web Defacement สูงที่สุด

56
ajstar.co.th
phayathai-police.com
worldpump-wpm.com
เมื่อพิจารณา โดเมนเนม ที่มีจำนวนรายงาน URL ของการโจมตีประเภท Phishing สูงสุด
10 อันดับแรกจะพบว่า เกือบทั้งหมดเป็นเว็บไซต์ของหน่วยงานภาคเอกชน ยกเว้นเว็บไซต์ของ
สถานีตำรวจนครบาลพญาไท (phayathai-police.com) และเว็บไซต์งานทะเบียนและวัดผล
โรงเรียนกรุงเทพคริสเตียนวิทยาลัย (61.19.58.247)
gnetmobile.com
61.19.58.247
cancluster.com
mywater.in.th
idtecresume.com
DOMAIN
baanaree.net
gpadtablet.com
0 50 100 150 200 250 300 350 400
กราฟที่ 10 10 อันดับแรกของ โดเมนเนม ที่มีจำนวนรายงานประเภท Phishing สูงที่สุด
NAME

57
3.1.1.4 Spam, Brute Force และ
Scanning
ภัยคุกคามประเภท Spam ที่ไทยเซิร์ต
ได้รับแจ้งในปี 2556 เมื่อนับจำนวนรายงาน
ตามหมายเลขไอพีที่ไม่ซ้ำแล้ว พบว่าได้รับ
แจ้งเฉลี่ยต่อวันเกือบ 8,000 หมายเลขไอพี
อย่างไรก็ตาม ไทยเซิร์ตได้รับแจ้งข้อมูลประเภท
Spam ครั้งสุดท้ายในช่วงเดือนกันยายน 2556
ส่วนภัยคุกคามประเภท Brute Force ที่ได้รับ
แจ้งนั้น พบว่าวันที่ได้รับรายงานมากที่สุดเมื่อ
นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำมีจำนวน
21 หมายเลขไอพี โดยรายงานทั้งหมดเป็นการ
โจมตีบริการ SSH ของเครื่องเป้าหมาย
กราฟที่ 11 10 อันดับแรกของหมายเลขพอร์ตที่ถูกสแกนสูงสุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ
4899/tcp: 58.4%
3389/tcp: 22.1%
22/tcp: 8.8%
445/tcp: 4.1%
23/tcp: 1.9%
80/tcp: 1.5%
5900/tcp: 0.7%
1433/tcp: 0.3%
139/tcp: 0.3%
25/tcp: 0.3%
(Other): 1.6%
ภัยคุกคามประเภท Spam
ที่ไทยเซิร์ตได้รับแจ้งใน
ปี 2556 เฉลี่ยต่อวันเกือบ
8,000
หมายเลขไอพี

58
หมายเลขพอร์ต
4899/tcp
3389/tcp
22/tcp
445/tcp
23/tcp
80/tcp
5900/tcp
1433/tcp
139/tcp
25/tcp
รายละเอียด
Attacks on Radmin remote
administration tool
Attacks on RDP
Attacks on SSH
Attacks on Windows RPC
Attacks on Telnet
Attacks on web applications
Attacks on VNC
Attacks on MS SQL
Attacks on NetBIOS
Attacks on SMTP
สำหรับภัยคุกคามประเภท Scanning ซึ่ง
เครื่องคอมพิวเตอร์ในประเทศไทยเป็นผู้ทำการ
สแกนหมายเลขพอร์ตของเครื่องคอมพิวเตอร์
ในต่างประเทศนั้น พบว่า 3 อันดับแรกของ
หมายเลขพอร์ตที่ตกเป็นเป้าหมายในการสแกน
สูงที่สุด ได้แก่ 4899/tcp (Radmin), 3389/
tcp (RDP) และ 22/tcp (SSH) เป็นหมายเลข
พอร์ตของบริการควบคุมดูแลระบบจากระยะ
ไกล (Remote Administration) ทั้งสิ้น รวม
กันเกือบ 90%
ภัยคุกคามประเภท
Scanning หมายเลข
พอร์ตที่ตกเป็นเป้าหมาย
ในการสแกนสูงที่สุด ได้แก่
Remote Administration
ทั้งสิ้น รวมกันเกือบ
90%
ตารางที่ 2 คำอธิบายของหมายเลขพอร์ตที่ถูกสแกน

59
3.1.2 สถิติภัยคุกคามที่ได้รับการ
ประสานเพื่อรับมือและจัดการโดย
ไทยเซิร์ต
นอกจากการรับรายงานผ่านระบบอัตโนมัติ
แล้ว ไทยเซิร์ตยังรับแจ้งเหตุภัยคุกคามผ่านทาง
โทรศัพท์และอีเมลโดยตรง ซึ่งจะมีเจ้าหน้าที่
ผู้ประสานงานรับมือและจัดการภัยคุกคามโดย
เฉพาะ โดยในปี พ.ศ. 2556 ไทยเซิร์ตได้เริ่ม
นำรายงานประเภทการบุกรุกหรือเจาะระบบ
ได้สำเร็จ (Intrusions) ที่ได้รับแจ้งจากระบบ
อัตโนมัติ มาวิเคราะห์และประสานงานไปยัง
ผู้ที่เกี่ยวข้องเพื่อแก้ไขเหตุภัยคุกคามที่เกิดขึ้น
3500
3000
2500
2000
1500
1000
500
0
2547 2548 2549 2550 2551 2552 2553 2554 2555 2556
จากสถิติเหตุภัยคุกคาม ที่ไทยเซิร์ตได้
รับแจ้งโดยตรงในปี 2556 พบว่า ไทยเซิร์ต
ได้รับแจ้งภัยคุกคามทั้งหมด 1,745 รายการ
เพิ่มขึ้นจากปีที่แล้วประมาณ 2 เท่าเมื่อเทียบ
กับปีก่อนหน้าที่ได้รับแจ้งภัยคุกคามทั้งหมด
792 รายการ และมีแนวโน้มว่าจำนวนเหตุภัย
คุกคามที่ได้รับแจ้งจะเพิ่มขึ้นทุกปี
กราฟที่ 12 จำนวนเหตุภัยคุกคามที่ไทยเซิร์ตดำเนินการระหว่างปี 2547 - 2556

60
กราฟที่ 13 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556
Fraud: 39.8%
Intrusions: 36.2%
Intrusion attempts: 18.1%
Malicious code: 4.1%
Abusive content: 0.7%
Availability: 0.6%
Information gathering: 0.5%
เมื่อพิจารณาเฉพาะเหตุภัยคุกคาม ที่ได้
รับแจ้งในปี 2556 จะพบว่า ภัยคุกคามที่ได้
รับแจ้งมากที่สุดยังคงเหมือนกับปีที่แล้ว คือ
ประเภท Fraud กว่า 40% หรือคิดเป็นจำนวน
694 รายการ เพิ่มขึ้นจากปีที่แล้ว 160 รายการ
รองลงมาคือ Intrusions ด้วยสัดส่วน 36%
หรือคิดเป็นจำนวน 631 รายการ จะเห็นได้
ว่า รายงานภัยคุกคามส่วนใหญ่เป็นเรื่องของ
การเจาะระบบเว็บไซต์ เห็นได้จากภัยคุกคาม
ประเภท Fraud ซึ่งเป็นการโจมตีในรูปแบบ
ของ Phishing และ Intrusions ซึ่งเป็นการ
โจมตีในรูปแบบ Web Defacement รวมกัน
แล้วคิดเป็นสัดส่วนสูงถึง 76% ของรายงานที่
ได้รับทั้งหมด
ภัยคุกคามที่ได้รับแจ้งในปี
2556 การโจมตีในรูปแบบ
Web Defacement
รวมกันแล้วคิดเป็น
สัดส่วนสูงถึง
76%
ของรายงานที่ได้รับทั้งหมด

61
1000
800
Abusive content
Availability
Fraud
Information gathering
Intrusion attempts
Intrusions
Malicious code
600
400
200
0
ThaiCERT
United
States
Brazil Australia Canada Denmark Malaysia Thailand Japan Spain
ผู้แจ้ง สัดส่วน ผู้เสียหาย สัดส่วน ผู้โจมตี สัดส่วน
ในประเทศ 257 37.03% 14 2.02% 674 97.54%
ต่างประเทศ 457 62.97% 677 97.55% 15 2.17%
ระบุไม่ได้ 0 0% 3 0.43% 2 0.29%
กราฟที่ 14 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 จำแนกตามประเทศของผู้แจ้ง ตารางที่ 3 ข้อมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนกตามผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง
ในขณะเดียวกัน เมื่อจำแนกรายงานภัยคุกคามที่ไทยเซิร์ตได้รับตามประเทศของผู้แจ้งแล้ว
พบว่า สหรัฐอเมริกาเป็นประเทศที่แจ้งรายงานโดยรวมมากที่สุด ซึ่งส่วนใหญ่เป็นรายงาน
ที่เกี่ยวข้องกับภัยคุกคามประเภท Fraud รองลงมาเป็นประเทศบราซิลและออสเตรเลียที่
ได้รับรายงานส่วนใหญ่เกี่ยวกับภัยคุกคามประเภท Intrusion Attempts ส่วนแท่งกราฟ
ของ ไทยเซิร์ตนั้น เป็นจำนวนรายงานภัยคุกคามที่ไทยเซิร์ตแจ้งออกไปยังหน่วยงานที่เกี่ยวข้อง
เมื่อพิจารณาสถิติที่จำแนกรายงานเหตุภัยคุกคามประเภท Fraud ตามประเภทของ
ผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง โดยผู้โจมตีคือเว็บไซต์ที่มีหน้าเว็บหลอกลวง และ
ผู้เสียหายคือหน่วยงานที่ถูกแอบอ้างชื่อในการสร้างหน้าเว็บปลอมแล้ว จะพบว่ามีลักษณะ
เหมือนกับปีที่ผ่านมา นั่นคือ ผู้แจ้งเหตุและผู้เสียหายส่วนใหญ่จะอยู่ในต่างประเทศ และ
ผู้โจมตีส่วนใหญ่จะอยู่ภายในประเทศ

62
ผู้แจ้ง สัดส่วน ผู้เสียหาย สัดส่วน ผู้โจมตี สัดส่วน
บุคคล 1 0.14% 0 0% 0 0%
เซิร์ต (CERT)/
หน่วยงานด้านความ
มั่นคง
ปลอดภัยคอมพิวเตอร์
486 70.03% 0 0% 0 0%
ผู้ให้บริการ
อินเทอร์เน็ต
31 4.47% 0 0% 0 0%
บริษัท/ธุรกิจ/เอกชน 176 25.36% 637 91.79% 607 87.64%
สถาบันการศึกษา 0 0% 1 0.14% 46 6.63%
หน่วยงานของรัฐ 0 0% 0 0% 24 3.46%
อื่น ๆ 0 0% 56 8.07% 17 2.45%
ตารางที่ 4 ข้อมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนกตามผู้เกี่ยวข้องและประเภทหน่วยงาน
ในขณะที่สถิติของเหตุภัยคุกคามประเภท
Fraud เมื่อจำแนกตามผู้เกี่ยวข้องและประเภท
หน่วยงานนั้น พบว่าผู้โจมตีส่วนใหญ่เป็น
เว็บไซต์ของหน่วยงานประเภทบริษัท/ธุรกิจ/
เอกชน ซึ่งเกิดจากผู้ไม่หวังดี เจาะระบบ
เว็บไซต์เพื่อวางหน้าเว็บปลอมแปลง ที่แอบ
อ้าง ชื่อของหน่วยงานอื่น ๆ แสดงให้เห็นว่ามี
เว็บไซต์ของหน่วยงานเหล่านี้ จำนวนไม่น้อย
ที่ยังขาด การดูแลรักษาความมั่นคงปลอดภัย
ที่ดีพอ ผู้เสียหายโดย ส่วนใหญ่ก็ยังคงเป็น
หน่วยงานประเภทบริษัท/ ธุรกิจ/ เอกชน เช่น
เดียวกัน โดยเฉพาะธนาคารและสถาบันการ
เงินต่าง ๆ เนื่องจากผู้ไม่หวังดีมักทำหน้าเว็บ
ปลอมแปลงเลียนแบบเว็บไซต์ของหน่วยงาน
เหล่านี้ เพื่อหลอกลวงเอาข้อมูลส่วนบุคคล
จากผู้ที่ตกเป็นเหยื่อ ไปใช้ในการทำธุรกรรม
ออนไลน์แทน
ภัยคุกคามประเภท Fraud
ผู้เสียหายโดยส่วนใหญ่
เป็นหน่วยงานประเภท
บริษัท/ธุรกิจ/เอกชน โดย
เฉพาะธนาคารและสถาบัน
การเงินต่าง ๆ เนื่องจาก
ผู้ไม่หวังดีมักทำหน้าเว็บ
ปลอมแปลงเลียนแบบเว็บไซต์
ของหน่วยงานเหล่านี้
เพื่อหลอกลวงเอาข้อมูล
ส่วนบุคคลจากผู้ที่ตกเป็น
เหยื่อไปใช้ในการทำธุรกรรม
ออนไลน์แทน

63
นอกจากนี้ยังพบว่า 19% ของเว็บไซต์ที่ได้รับแจ้งเหตุภัยคุกคามประเภท Fraud และ
Intrusions เคยได้รับแจ้งซ้ำ และเมื่อนำเว็บไซต์ที่เคยได้รับแจ้งซ้ำมาจำแนกตามประเภท
ของเว็บไซต์แล้ว จะพบว่า 41% เป็นเว็บไซต์ของหน่วยงานภาคการศึกษา (.ac.th) รองลง
มาคือเว็บไซต์ของหน่วยงานภาคธุรกิจ (.com) และเว็บไซต์ของหน่วยงานภาครัฐ (.go.th)
ด้วยสัดส่วนที่เท่ากันคือ 23% ซึ่งสาเหตุที่ได้รับการแจ้งซ้ำนั้นอาจเป็นเพราะผู้ดูแลเว็บไซต์
แก้ไขปัญหาเฉพาะหน้าด้วยการลบหน้าเว็บที่มีปัญหา แต่ไม่ได้แก้ไขช่องโหว่ของเว็บไซต์ซึ่ง
เป็นต้นเหตุแท้จริง ทำให้ผู้ไม่หวังดีสามารถกลับมาโจมตีโดยใช้ช่องโหว่เดิมได้อีก หรือหาก
เป็นระบบที่ไม่ได้มีการดูแลรักษาความมั่นคงปลอดภัยที่ดีพอ ผู้ไม่หวังดีก็มีโอกาสที่จะค้นหา
ช่องโหว่อื่นที่ใช้ในการโจมตีได้โดยง่ายเช่นกัน
.ac.th: 73 (41.0%)
.go.th: 41 (23.0%)
.com: 41 (23.0%)
.co.th: 16 (9.0%)
(Other): 7 (3.9%)
กราฟที่ 15 สัดส่วนโดเมนที่ได้ถูกแจ้งซ้ำภัยคุกคามประเภท Fraud และ Intrusion โดยจำแนกตามประเภทของเว็บไซต์

64
400k
200k
100k
40k
20k
10k
4k
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Zbot
Citadel
ZeroAccess
กราฟที่ 16 จำนวนรายงานมัลแวร์ที่ได้รับแจ้งจาก Microsoft ในแต่ละเดือนในปี 2556 นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ
นอกเหนือจาก การรับแจ้งผ่านช่อง
ทางระบบอัตโนมัติ และทางอีเมลข้าง
ต้นแล้ว ไทยเซิร์ตยังได้ร่วมมือกับบริษัท
Microsoft ในการเป็นศูนย์กลาง ประสาน
งานกับหน่วยงานต่าง ๆ ในประเทศเพื่อ
จัดการกับมัลแวร์ Zbot, Citadel และ
ZeroAccess โดยไทยเซิร์ตได้รับแจ้งหมายเลข
ไอพีในประเทศไทยของ เครื่องคอมพิวเตอร์
ที่ติดมัลแวร์ Zbot ตั้งแต่เดือนกุมภาพันธ์ถึง
กรกฎาคม มัลแวร์ Citadel ตั้งแต่เดือนสิงหาคม
ถึงพฤศจิกายน และ ZeroAccess ตั้งแต่เดือน
ธันวาคมเป็นต้นมา โดยหลังจากที่ไทยเซิร์ตได้
แจ้งเตือนข้อมูลดังกล่าวผ่านทางระบบบริการ
แจ้งข้อมูลภัยคุกคามให้กับผู้ให้บริการเครือข่าย
อินเทอร์เน็ตอัตโนมัติ พบว่าจำนวนหมายเลข
ไอพีที่ได้รับแจ้งมีแนวโน้มที่ลดลง
3.2 ภัยคุกคามที่เป็นกรณีศึกษาที่
ไทยเซิร์ตเข้าไปดเนินการ
ไทยเซิร์ต ให้บริการรับมือและจัดการกับ
ภัยคุกคามกับหน่วยงานของรัฐ และเอกชน
ในขอบเขตการดำเนินงาน ครอบคลุมระบบ
เครือข่ายอินเทอร์เน็ตภายในประเทศไทย และ
ระบบคอมพิวเตอร์ ภายใต้โดเมนเนมของ
ประเทศไทย (.th) ในปี 2556 ไทยเซิร์ต
ได้รับแจ้งหรือตรวจพบภัยคุกคาม และเข้าไป
แก้ไขและระงับเหตุภัยคุกคามที่เกิดขึ้นร่วมกับ
หน่วยงานที่เกี่ยวข้อง ซึ่งสรุปเป็นกรณีศึกษา
ที่น่าสนใจหลายกรณี เช่น การโจมตีเว็บไซต์
ของหน่วยงานสำคัญ การโจมตีผู้ใช้งานระบบ
E-Banking ของธนาคารไทย และการตรวจพบ
ช่องโหว่ของแอปพลิเคชันแชทซึ่งมีผู้ใช้งานใน
ประเทศไทยเป็นจำนวนมาก เป็นต้น

65
3.2.1 กรณีพบการโจมตีเว็บไซต์ที่ใช้
ระบบบริหารจัดการเว็บไซต์ CMS
ของไทย
ในเดือนพฤษภาคม 2556 ไทยเซิร์ต
ได้รับแจ้งกรณีการโจมตีเว็บไซต์ในลักษณะการ
เปลี่ยนแปลงหน้าเว็บไซต์ (Web Defacement)
จำนวนมากถึง 37 เว็บไซต์ เมื่อเปิดเข้าไป
ตรวจสอบเว็บไซต์ดังกล่าว พบว่ามีการแทรก
ข้อความในลักษณะเดียวกันบนหน้าเว็บไซต์ว่า
“THIS SITE HACKED BY Z4R4THUSTR4”
เว็บไซต์ที่ได้รับผลกระทบทั้งหมดเป็นเว็บไซต์
ขององค์การบริหารส่วนตำบลกลุ่มหนึ่ง ที่ใช้
งานระบบบริหารจัดการเว็บไซต์ (Content
Management System - CMS) ชนิดเดียวกัน
เมื่อไทยเซิร์ตใช้ Search Engine เช่น Google.
com ค้นหาข้อมูลเพิ่มเติมก็พบว่ามีเว็บไซต์อื่น
ที่ใช้งาน CMS เช่นเดียวกันนี้อีกจำนวนหนึ่ง
ที่มิได้อยู่ในรายการที่ได้รับแจ้งและได้มีการ
เปลี่ยนแปลงหน้าเว็บไซต์เช่นกัน นอกจากนี้
เมื่อตรวจสอบข้อมูลในเว็บไซต์ของผู้พัฒนา
CMS ดังกล่าว พบว่ามีเว็บไซต์ของหน่วยงาน
ของรัฐอีกมากกว่า 600 เว็บไซต์ที่ใช้งาน CMS
นี้อยู่และมีโอกาสที่จะถูกโจมตีได้
ไทยเซิร์ต ทำการประสานงานไปยังผู้พัฒนา
CMS ดังกล่าว เพื่อแจ้งแนวทางการดำเนินการ
ควบคุมและป้องกันปัญหาที่อาจขยายวงกว้าง
ไปยังเว็บไซต์อื่นที่ใช้งาน CMS ตัวเดียวกันนี้
รวมถึง ได้รับการร้องขอให้ช่วยดำเนินการ
วิเคราะห์ผลกระทบ และช่องโหว่ที่แฮกเกอร์
ใช้ในการโจมตี โดยจากการวิเคราะห์เบื้องต้น
ด้วยข้อมูลบันทึกการเข้าใช้งานเว็บไซต์ (Web
Access Log) ที่ได้รับ พบว่ามีข้อมูลการล็อกอิน
ที่ผิดปกติในสิทธิของผู้ดูแลระบบในทุกเว็บไซต์
ด้วยบัญชีผู้ใช้งานที่เป็นค่าเริ่มต้นของระบบ ซึ่ง
มีแหล่งที่มาตรวจสอบแล้วมาจากต่างประเทศ
และพบรูปแบบการโจมตีเพื่อเข้าถึงฐานข้อมูล
ของเว็บไซต์ รวมถึงเมื่อทำการตรวจสอบช่อง
โหว่ของเว็บไซต์ CMS ดังกล่าว พบช่องโหว่
รุนแรงที่แฮกเกอร์สามารถใช้โจมตีสามารถ
เข้าถึงฐานข้อมูลของเว็บไซต์ได้ทันที
ผลลัพธ์ของการโจมตีจะทำให้แฮกเกอร์ได้
ข้อมูลทั้งหมดที่อยู่ในฐานข้อมูลรวมถึงข้อมูลการ
ล็อกอินที่เป็นบัญชีผู้ใช้งานตั้งต้นของระบบ ซึ่ง
สมมุติฐานและหลักฐานที่มี ทำให้พิจารณาได้ว่า
แฮกเกอร์โจมตีระบบจนได้ข้อมูลการล็อกอิน ที่
เป็นบัญชีผู้ใช้งานตั้งต้นของระบบ จากนั้นจึงเริ่ม
ค้นหาเว็บไซต์ที่ใช้งาน CMS ด้วยรูปแบบบาง
ส่วนและทำการล็อกอินเข้าสู่ระบบ
เพื่อควบคุมเว็บไซต์ต่อไป ซึ่งกรณี
การโจมตีที่พบในครั้งนี้ สามารถ
สรุปได้ว่าปัญหาที่เกิดขึ้นเพราะ
ความหละหลวมในกระบวนการ
บริหารจัดการเว็บไซต์ ในส่วนที่
พบว่าผู้ดูแลไม่ทำการลบบัญชีผู้
ใช้งานที่เป็นค่าตั้งต้นของระบบ
ออก และเกิดจากปัญหาในการ
พัฒนาระบบที่มีไม่มีความมั่นคง
ปลอดภัย ทำให้แฮกเกอร์สามารถ
โจมตี และใช้เป็นควบคุมเว็บไซต์ที่เกี่ยวข้อง
ทั้งหมดได้อย่างง่ายดาย
ไทยเซิร์ต ได้จัดทำเอกสารรายงานการ
ตรวจสอบช่องโหว่พร้อมกับข้อเสนอแนะจาก
เหตุการณ์ที่เกิดขึ้น แจ้งให้ผู้ดูแลระบบและ
ผู้เกี่ยวข้อง เพื่อให้มีแนวทางในการแก้ไขปัญหา
และสามารถรับมือเหตุภัยคุกคามที่จะเกิดขึ้น
ในอนาคตอย่างทันท่วงที
รูปที่ 2 ตัวอย่างเว็บไซต์ที่ถูกโจมตี Web Defacement

66
3.2.2 กรณีแอปพลิเคชันธนาคาร
ออนไลน์ปลอมในระบบปฏิบัติการ
แอนดรอยด์
ในเดือนกุมภาพันธ์ 2556 ได้มีข่าวการ
แพร่ระบาดของ SMS หลอกลวงที่มีเนื้อหาเชิญ
ชวนให้ผู้ใช้งานที่ได้รับ SMS ดังกล่าว ทำการ
ดาวน์โหลดแอปพลิเคชันธนาคารออนไลน์
ซึ่งในภายหลังไทยเซิร์ตตรวจพบแอปพลิเค
ชันปลอมหรือที่เรียกว่าแอปพลิเคชันมัลแวร์
ในช่วงเวลาเดียวกันจำนวน 2 แอปพลิเคชัน
ไทยเซิร์ต ได้ทำการดาวน์โหลด
แอปพลิเคชันมัลแวร์ ดังกล่าวมาตรวจสอบ
และพบว่ามีความพยายามหลอกลวง ผู้ใช้งาน
ในหลายขั้น ตั้งแต่ลิงก์ที่ให้ดาวโหลดไฟล์ที่
มีลักษณะคล้ายกับชื่อเว็บไซต์ ของธนาคาร
นั้น ๆ จริง และเมื่อทำการวิเคราะห์ลึกลงไป
รูปที่ 3 ตัวอย่างแอปพลิเคชันปลอมที่ปรากฏ
ชื่อธนาคารกสิกรไทย
ถึงโครงสร้างทำงาน ของแอปพลิเคชันมัลแวร์
ทั้ง 2 นี้ก็ พบว่ามัลแวร์มีความสามารถ และ
ฟังก์ชันการท ำงานลักษณะเดียวกันทุกประการ
ต่างกันแค่การตั้งค่าชื่อ และรูปของธนาคาร
ที่ใช้ในแอปพลิเคชัน เท่านั้น มัลแวร์มีความ
สามารถ ในการแจ้งข้อมูลการติดมัลแวร์กลับไปยัง
แฮกเกอร์โดยจะส่ง SMS พร้อมรายละเอียดของ
ชื่อเครื่องที่ติดมัลแวร์กลับไปยังหมายเลข
โทรศัพท์หนึ่งในต่างประเทศในครั้งแรกที่ติ
ดมัลแวร์ ฟังก์ชันหลักของมัลแวร์เป็นการขโมย
ข้อมูล SMS จากเครื่องโทรศัพท์ที่ติดมัลแวร์
นั้น สันนิษฐานได้ว่า จุดประสงค์ของการเผย
แพร่มัลแวร์ดังกล่าว เพื่อใช้ในการขโมยข้อมูล
OTP (One-TimePassword) ที่จะส่งผ่าน
ทาง SMS ให้ผู้ใช้งานเมื่อมีการร้องขอการทำ
ธุรกรรมทางการเงิน
จุดประสงค์ของการ
เผยแพร่มัลแวร์ดังกล่าว
เพื่อใช้ในการขโมยข้อมูล OTP
(One-Time Password)
ที่จะส่งผ่านทาง SMS ให้
ผู้ใช้งานเมื่อมีการร้องขอ
การทำธุรกรรมทางการเงิน

67
รูปที่ 5 พฤติกรรมของการส่ง SMS ที่ตรวจสอบได้
รูปที่ 4 โครงสร้างของไฟล์ภายในแอปพลิเคชันปลอม
ไทยเซิร์ตได้ตรวจสอบรวบรวมข้อมูลที่
เกี่ยวข้องทั้งหมด เพื่อหาแนวทางป้องกันมิ
ให้ปัญหาภัยคุกคามนี้ขยายวงกว้าง รวมถึง
วิเคราะห์การทำงานของแอปพลิเคชันดังกล่าว
อย่างละเอียด และเผยแพร่บทความแจ้งเตือน
ภัยคุกคามบนเว็บไซต์ไทยเซิร์ต พร้อมทั้งได้มี
การประสานงานกับธนาคารที่เกี่ยวข้อง เพื่อ
แจ้งสถานการณ์ของปัญหาที่เกิดขึ้น รวมถึงมี
การแจ้งแนวทางการรับมือกับปัญหาภัยคุกคาม
ดังกล่าวให้กับหน่วยงานที่เกี่ยวข้องทราบต่อไป

68
3.2.3 กรณีเว็บไซต์สนักข่าว
หลายแห่งในประเทศไทยถูกเจาะ
ฝังโทรจันที่หลอกให้ดาวน์โหลด
แอนตี้ไวรัสปลอม
ในเดือนมิถุนายน 2556 ไทยเซิร์ตได้รับ
แจ้งจากหน่วยงานในเครือข่าย ว่าพบความผิด
ปกติบนหน้าเว็บไซต์ของสำนักข่าวแห่งหนึ่งใน
ประเทศไทย โดยผู้ใช้งานจะได้รับแจ้งเตือนผ่าน
โปรแกรมเว็บเบราว์เซอร์ว่าเว็บไซต์เหล่านี้มีการ
ตรวจพบการเผยแพร่โปรแกรมไม่พึงประสงค์
หรือที่เรียกว่ามัลแวร์ ซึ่งเมื่อมีการตรวจสอบ
สถิติการเข้าใช้งานเว็บไซต์เหล่านี้จากบริการ
บนนเทอร์เน็ต เช่น จากเว็บไซต์ Truehits.
net พบว่าเว็บไซต์เหล่านี้ได้รับความนิยมสูง
มีอัตราผู้เข้าชมต่อวันหลายหมื่นครั้ง ซึ่งเป็น
ไปได้สูงที่จะตกเป็นเป้าหมายในการโจมตีและ
ใช้เป็นฐานในการเผยแพร่มัลแวร์ ซึ่งในอีกนัย
หนึ่งแสดงว่าผู้ใช้งานกลุ่มใหญ่ที่กำลังตกอยู่ใน
ความเสี่ยงที่จะติดมัลแวร์ได้
ไทยเซิร์ต ทำการวิเคราะห์การทำงาน
ของเว็บไซต์ดังกล่าว สามารถพิสูจน์ยืนยันได้
ว่าเว็บไซต์เหล่านี้มีการทำงานในลักษณะของ
การเผยแพร่มัลแวร์อยู่จริง โดยรูปแบบของการ
ติดมัลแวร์จากเว็บไซต์ซึ่งส่งผลกระทบกับผู้ใช้
งานระบบปฏิบัติการ Windows ที่มีการใช้
งานโปรแกรมเสริมบางตัว ซึ่งโปรแกรมเสริม
ดังกล่าว เป็นโปรแกรมในเวอร์ชันที่มีช่องโหว่
รวมถึง ไทยเซิร์ตยังวิเคราะห์พฤติกรรมการ
ทำงานของมัลแวร์ตัวดังกล่าว และพบว่ามัลแวร์
มีความสามารถในการดาวน์โหลดมัลแวร์อื่น ๆ
มาติดตั้ง และมีฟังก์ชันในการขโมยข้อมูล รวม
ถึงสามารถผนวกการทำงานเข้าไปกับโปรแกรม
เว็บเบราว์เซอร์ เพื่อสั่งการให้เว็บเบราว์เซอร์
แสดงผลหน้าเว็บไซต์ตามที่ต้องการได้ ในกรณี
นี้มัลแวร์ได้รับการตั้งค่าให้ทำการเปลี่ยนแปลง
หน้าเว็บไซต์ของ ธนาคารออนไลน์หลายแห่ง
ในประเทศไทย โดยมีการเพิ่มข้อความเชิญ
ชวนและหลอกลวงให้ผู้ใช้งานดาวน์โหลดและ
ติดตั้งโปรแกรมแอนตี้ไวรัสปลอมบนโทรศัพท์
มือถือ ซึ่งโปรแกรมแอนตี้ไวรัสปลอมดังกล่าว
จะลักลอบขโมยข้อมูล OTP สำหรับการเข้าใช้
งานระบบทำธนาคารออนไลน์ต่อไป
รูปที่ 6 การดาวน์โหลด Java Applet ไม่พึงประสงค์

69
ในกรณีนี้มัลแวร์ได้รับการ
ตั้งค่าให้ทำการเปลี่ยนแปลงหน้า
เว็บไซต์ของธนาคารออนไลน์
หลายแห่งในประเทศไทย โดยมี
การเพิ่มข้อความเชิญชวนและ
หลอกลวงให้ผู้ใช้งานดาวน์โหลด
และติดตั้งโปรแกรมแอนตี้ไวรัส
ปลอมบนโทรศัพท์มือถือ ซึ่ง
โปรแกรมแอนตี้ไวรัสปลอม
ดังกล่าวจะลักลอบขโมยข้อมูล
OTP สำหรับการเข้าใช้งานระบบ
ทำธนาคารออนไลน์ต่อไป ทั้งนี้ จากการประเมินสาเหตุของปัญหา
ที่พบ อาจพิจารณาได้ว่ามีส่วนประกอบของ
ปัญหาหลายส่วน ทั้งส่วนที่เกิดจากเว็บไซต์ของ
สำนักข่าวมีช่องโหว่ ทำให้แฮกเกอร์สามารถเข้า
ควบคุมเว็บไซต์และใช้เป็นแหล่งเผยแพร่มัลแวร์
ได้ และส่วนที่เป็นผลกระทบต่อเนื่องจากผู้ใช้
รูปที่ 7 เว็บไซต์ของธนาคารที่ถูกเพิ่มเนื้อหาเข้าไปโดยโปรแกรมไม่พึงประสงค์
งานไม่มีการอัปเดตโปรแกรมเสริมที่ใช้งาน เมื่อผู้
ใช้งานมีการเปิดเว็บไซต์ดังกล่าว จึงทำให้มัลแวร์
สามารถติดตั้งตัวเองลงในระบบคอมพิวเตอร์
ได้ทันที จากสถานการณ์ดังกล่าว ไทยเซิร์ต
ได้ทำการประสานงานและแจ้งรายละเอียด
ทั้งหมดที่พบ เกี่ยวกับการเผยแพร่มัลแวร์ให้
กับสำนักข่าวดังกล่าว พร้อมกันนี้ยังมีการ
ประสานกับผู้ให้บริการโทรศัพท์มือถือเพื่อ
ระงับการส่ง SMS ไปยังหมายเลขต่างประเทศ
ปลายทางที่ถูกพบบนแอปพลิเคชันแอนตี้
ไวรัสปลอมของผู้ไม่หวังดี และประสานกับ
ผู้ให้บริการจดทะเบียน Domain ของต่าง
ประเทศเพื่อระงับการใช้งาน โดเมนเนม
ที่เกี่ยวข้องกับการโจมตีทั้งหมด และจัดทำ
บทความแจ้งเตือน เผยแพร่บนเว็บไซต์ของ
ไทยเซิร์ต และแนะนำวิธีการตรวจสอบและ
แก้ไขปัญหาที่เกี่ยวข้องในทันที

70
3.2.4 กรณีไทยเซิร์ตพบช่องโหว่ของ
แอปพลิเคชัน LINE สามารถดักรับ
ข้อมูลบนเครือข่าย LAN/WiFi
ในเดือนพฤศจิกายน 2556 ทีมวิจัยของ
ไทยเซิร์ต ได้ทำการตรวจวิเคราะห์การทำงาน
ของแอปพลิเคชัน LINE ซึ่งเป็นแอปพลิเคชัน
ประเภทการสื่อสารที่มีการใช้งานกันอย่างแพร่
หลายในประเทศไทย โดยพบว่าแอปพลิเคชัน
LINE ที่ทำงานบนระบบปฏิบัติการ Windows
รูปที่ 8 แสดงการจำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอปพลิเคชัน
LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ
(ยกเว้น Windows 8) และ Mac OS นั้น มี
ช่องโหว่ทำให้แฮกเกอร์สามารถดักรับและอ่าน
ข้อมูลการสนทนาที่ส่งผ่านเครือข่าย LAN/
WiFi ได้ทันที ถึงแม้ว่าแอปพลิเคชัน LINE ใน
เวอร์ชันที่ใช้งาน จะมีฟังก์ชันเข้ารหัสลับแล้ว
ก็ตาม ทั้งนี้ช่องโหว่ดังกล่าวยังทำให้แฮกเกอร์
สามารถเปลี่ยนแปลงข้อมูลที่รับส่งระหว่างผู้ใช้
งานระหว่างทางได้อีกด้วย ปัญหาของช่องโหว่
อยู่ที่ฝั่งแอปพลิเคชัน LINE ซึ่งไม่มีการตรวจ
สอบความถูกต้อง ของการเชื่อมต่อกับเครื่อง
ให้บริการ ว่ามีการดักรับข้อความอยู่ระหว่าง
ทางหรือไม่ เป็นผลให้แฮกเกอร์สามารถโจมตี
ผู้ใช้งานด้วยการดักรับข้อมูลบนเครือข่ายและ
ใช้เทคนิคการโจมตีบางประเภทเพื่อถอดรหัส
ลับข้อความได้ และสืบเนื่องจากช่องโหว่
ดังกล่าวยังไม่เคยมีการพบ หรือเผยแพร่ที ่ใด
มาก่อน จึงไม่พบรายงานความเสียหายที่เกิด
ขึ้นจากช่องโหว่ดังกล่าวบนแหล่งข้อมูลบน
อินเทอร์เน็ตหรือจากแหล่งข่าวใด
รูปที่ 9 แสดงหน้าต่างแจ้งเตือนการอัปเดต

71
ไทยเซิร์ต ได้รวบรวมข้อมูลและประสาน
งานแจ้งปัญหาเกี่ยวกับช่องโหว่ไปยังผู้พัฒนา
แอปพลิเคชัน LINE ในประเทศญี่ปุ่น ซึ่ง
ภายหลังได้มีการแก้ไขปัญหาช่องโหว่ และ
เผยแพร่อัปเดตของแอปพลิเคชัน LINE
ดังกล่าวเป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม
ผู้ใช้งานจำเป็นต้องดาวน์โหลด และอัปเดต
แอปพลิเคชัน LINE ด้วยตนเอง โดยไทยเซิร์ต
ได้จัดทำบทความวิเคราะห์และเผยแพร่ให้ผู้ใช้
งานได้รับทราบถึงสถานการณ์ของปัญหา รวมถึง
วิธีการอัปเดตแอปพลิเคชัน LINE และปัจจุบัน
หน่วยงาน MITRE ซึ่งทำงานดูแลเกี่ยวกับการ
ขึ้นทะเบียนข้อมูลช่องโหว่ หรือที่รู้จักบริการที่
อยู่ในความดูแลเกี่ยวกับฐานข้อมูลช่องโหว่ชื่อ
ว่า CVE ได้ทำการออกหมายเลขอ้างอิงกำกับ
สำหรับกรณีช่องโหว่ดังกล่าว รวมถึงอ้างอิง
รายละเอียดเพิ่มเติมกลับมายังบทความบน
เว็บไซต์ไทยเซิร์ตอีกด้วย
ไทยเซิร์ต ได้รวบรวมข้อมูล
และประสานงานแจ้งปัญหา
เกี่ยวกับช่องโหว่ไปยัง
ผู้พัฒนาแอปพลิเคชัน LINE
ในประเทศญี่ปุ่น ซึ่งภายหลัง
ได้มีการแก้ไขปัญหาช่องโหว่
และเผยแพร่อัปเดตของ
แอปพลิเคชัน LINE ดังกล่าว
เป็นที่เรียบร้อยแล้ว

72
3.2.5 กรณี Web Defacement
หน่วยงานสคัญในประเทศ
จากสถานการณ์ภัยคุกคามประเภท Web
Defacement ที่ไทยเซิร์ตทำการรวบรวมในปี
2556 พบว่าการโจมตีที่เกิดขึ้นส่วนใหญ่อยู่ใน
หน่วยงานของรัฐ (go.th) เป็นจำนวนสูงสุด
1,929 รายการ (คิดเป็นร้อยละ 44.6) รองลง
มาเป็นสถาบันการศึกษา (ac.th) มีจำนวน
1,515 รายการ (คิดเป็นร้อยละ 35) โดย
เมื่อพิจารณาสถิติการโจมตีในลักษณะ Web
Defacement ที่เกิดขึ้นในหน่วยงานของรัฐ
เทียบกับประเทศต่าง ๆ ในภูมิภาคอาเซียน
แล้ว พบว่าประเทศไทยติดอยู่ในอันดับแรก
ของการถูกโจมตีในลักษณะนี้
จากสถานการณ์ดังกล่าวมีความสอดคล้อง
กับกรณีที่ไทยเซิร์ตได้รับแจ้งเหตุกรณี Web
Defacement ที่อยู่ในหน่วยงานของรัฐ
ที่มีความสำคัญหลายแห่ง เช่น เว็บไซต์
กระทรวงศึกษาธิการ เว็บไซต์สำนักนายก
รัฐมนตรี เว็บไซต์กระทรวงวัฒนธรรม เว็บไซต์
คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
เป็นต้น ส่วนใหญ่พบว่า เป็นการโจมตีโดยมี
จุดประสงค์ ที่คล้ายคลึงกันสองประการคือ
1) ต้องการประกาศตนว่าตนนั้นมีความสามารถ
ที่จะโจมตีและเข้าควบคุมระบบใด ๆ ก็ได้สำเร็จ
หรือ 2) สร้างสถานการณ์ให้เกิดความเข้าใจผิด
และมีจุดประสงค์เพื่อต้องการให้หน่วยงาน
นั้น ๆ เกิดความเสื่อมเสียชื่อเสียงและหมด
ความน่าเชื่อถือไปด้วย ซึ่งหลายครั้งที่ไทยเซิร์ต
ได้รับการประสานโดยตรงจากหน่วยงานที่ถูก
โจมตี ซึ่งมักจะมาในรูปแบบของการขอให้
ทำการวิเคราะห์การโจมตีที่เกิดขึ้น การตรวจ
สอบปัญหาช่องโหว่ของระบบ รวมถึงขอให้ช่วย
นำเสนอแนวทางการแก้ไขปัญหาโจมตีที่เกิดขึ้น
Thailand (.go.th): 50.8%
Indonesia (.go.id): 30.6%
Malaysia (.gov.my): 6.4%
Vietnam (.gov.vn): 6.0%
Philippines (.gov.ph): 5.3%
Brunei (.gov.bn): 0.4%
Myanmar (.gov.mm): 0.3%
Cambodia (.gov.kh): 0.2%
Laos (.gov.la): < 0.1%
Singapore (.gov.sg): < 0.1%
กราฟที่ 17 สถิติภัยคุกคามประเภท Web Defacement จำแนกเฉพาะหน่วยงานของรัฐในภูมิภาคอาเซียนในปี 2556

73
ให้กับหน่วยงาน ซึ่งจากการวิเคราะห์แนวโน้ม
การโจมตีในกลุ่มหน่วยงานที่มีความสำคัญนี้
พบลักษณะที่น่าสนใจหลายประการ ตัวอย่าง
เช่น การโจมตีที่เกิดขึ้นกับเว็บแอปพลิเคชัน
ที่มีช่องโหว่เป็นหลัก ในระหว่างการโจมตีมี
ความพยายามใช้เทคนิคซ่อนตัวเพื่อป้องกัน
การตรวจสอบแหล่งที่มา มีการเว้นระยะการ
โจมตีออกเป็นช่วง ๆ เพื่อให้ยากแก่การตรวจ
สอบ มีการพยายามขโมยข้อมูลสำคัญออกจาก
ฐานข้อมูลของระบบ เช่น ข้อมูลบัญชีผู้ใช้งาน
รหัสผ่าน เป็นต้น รวมถึงพบการเปิดช่องทางที่
จะทำให้แฮกเกอร์สามารถกลับเข้ามาควบคุม
ระบบซ้ำได้อีก (Backdoor)
.go.th: 1,929 (44.6%)
.ac.th: 1515 (35.0%)
.co.th: 602 (13.9%)
.in.th: 216 (5.0%)
.or.th: 56 (1.3%)
.mi.th: 6 (0.1%)
กราฟที่ 18 สถิติภัยคุกคามประเภท Web Defacement ปี 2556 จำแนกตามประเภทหน่วยงาน (เฉพาะ .th)
ไทยเซิร์ต ได้รับแจ้งเหตุกรณี Web Defacement ที่อยู่
ในหน่วยงานของรัฐที่มีความสำคัญหลายแห่ง ซึ่งจากที่พบ
ส่วนใหญ่เป็นการโจมตีโดยมีจุดประสงค์ที่คล้ายคลึงกัน
สองประการคือ 1) ต้องการประกาศตนว่าตนนั้นมีความ
สามารถที่จะโจมตีและเข้าควบคุมระบบใด ๆ ก็ได้สำเร็จ หรือ
2) สร้างสถานการณ์ให้เกิดความเข้าใจผิด และมีจุดประสงค์
และมีจุดประสงค์เพื่อต้องการให้หน่วยงานนั้น ๆ เกิดความ
เสื่อมเสียชื่อเสียงและหมดความน่าเชื่อถือไปด้วย

74
รูปที่ 10 ตัวอย่างการโจมตีในลักษณะ Web Defacement กับเว็บไซต์ของกระทรวงศึกษาธิการ
จากสถานการณ์ Web Defacement ที่
เกิดขึ้นมาตลอดปี 2556 ทำให้สามารถสรุป
ภาพรวมของปัญหาได้ว่า ปัญหาส่วนใหญ่ที่พบ
เกิดจากการที่หน่วยงานยังขาดความตระหนัก
เกี่ยวกับการรักษาความมั่นคงปลอดภัยด้าน
สารสนเทศ การขาดกระบวนการรับมือเหตุภัย
คุกคาม รองลงมาคือส่วนผู้ดูแลรับผิดชอบของ
หน่วยงานขาดความรู้ความเข้าใจเกี่ยวกับการ
ทำงานของระบบที่อยู่ในความรับผิดชอบ ซึ่ง
มักจะส่งผลกระทบโดยตรงต่อการแก้ไขปัญหา
จากที่ผ่านมามีหน่วยงานเป็นจำนวนมากที่ได้
รับแจ้งเหตุภัยคุกคามจากไทยเซิร์ต ว่าระบบ
ของหน่วยงานนั้น ๆ ถูกโจมตีและถูกควบคุม
แต่หน่วยงานไม่สามารถดำเนินการแก้ไขปัญหา
ใด ๆ ได้ และมักแสดงเหตุผลที่สอดคล้องกัน
ว่าหน่วยงานจัดหาโปรแกรมหรือมีการจ้างผู้
พัฒนาจากภายนอก เพื่อมาพัฒนาระบบเป็น
เวลานานแล้ว และปัจจุบันไม่มีทีมงานที่จะ
สามารถแก้ไขปัญหาดังกล่าวได้ ซึ่งในอีกนัย
หนึ่งเท่ากับเว็บไซต์เหล่านี้กำลังเตรียมพร้อม
ที่จะถูกโจมตีซ้ำแล้วซ้ำอีก หรือกำลังเตรียม
ที่จะใช้เป็นเครื่องมือสำหรับโจมตีผู้อื่นได้ใน
ทันที โดย ไทยเซิร์ต สพธอ. ได้เล็งเห็นความ
สำคัญของปัญหาในส่วนนี้เป็นอย่างมาก จึง
ได้ร่วมกันจัดทำร่างมาตรฐานด้านความมั่นคง
ปลอดภัยเกี่ยวกับการพัฒนาเว็บแอปพลิเคชัน
มีเนื้อหาครอบคลุมการพัฒนาเว็บแอปพลิเคชัน
การดูแล/บริหารเว็บแอปพลิเคชัน รวมถึงการ
เผยแพร่บทความสำคัญเกี่ยวกับการรับมือภัย
คุกคามที่เกี่ยวข้อง

75
3.2.6 กรณีการตรวจพิสูจน์
พยานหลักฐานเครื่อง BitTorrent
Server
ในปี 2556 ศูนย์ดิจิทัลฟอเรนสิกส์ (Digital
Forensics Center) ของไทยเซิร์ต ได้รับคำ
ร้องขอจากหน่วยงานรักษากฎหมายแห่งหนึ่งให้
ช่วยตรวจสอบวิเคราะห์ความสัมพันธ์ ระหว่าง
เครื่อง BitTorrent Server กับไฟล์ .torrent
จำนวนหนึ่งที่ระบุว่าได้ดาวน์โหลดมาจากเครื่อง
Server ข้างต้น และไฟล์ .torrent เหล่านี้
สามารถใช้ดาวน์โหลดเพลงที่ละเมิดลิขสิทธิ์ได้
และหน่วยงานรักษากฎหมายต้องการให้ศูนย์
ดิจิทัลฟอเรนสิกส์ยืนยันว่าไฟล์ .torrent ที่อ้าง
ถึง ดาวน์โหลดมาจาก BitTorrent Server ดัง
กล่าว และสามารถใช้ในการดาวน์โหลดเพลง
ละเมิดลิขสิทธิ์ได้จริง
พยานหลักฐานที่ศูนย์ดิจิทัลฟอเรนสิกส์
ได้รับมา ประกอบด้วย
• เครื่อง BitTorrent Server ที่เปิด
ให้บริการเว็บไซต์ BitTorrent
• ไฟล์ .torrent จานวนหนึ่งที่ระบุว่า
ได้ดาวน์โหลดมาจากเว็บไซต์
ดังกล่าว
• ภาพ Screenshot หน้าเว็บไซต์
BitTorrent ที่บันทึกมาจากหน้าจอ
ของ Browser ก่อนที่จะดาวน์โหลด
ไฟล์ .torrent
• ตัวอย่างไฟล์เพลง/ภาพยนตร์
ที่ระบุว่าดาวน์โหลดได้จากไฟล์
.torrent
จากการตรวจสอบไฟล์ .torrent ที่ได้รับ
มา กับไฟล์ .torrent ที่พบในเครื่อง BitTorrent
Server พบว่ามีขนาดและเนื้อหาบางส่วนใน
ไฟล์ที่แตกต่างกัน ศูนย์ดิจิทัลฟอเรนสิกส์จึง
ได้ทำการตรวจสอบเพิ่มเติมโดยการวิเคราะห์
ข้อมูลในไฟล์ทั้งสองโดยละเอียด พบว่าส่วนที่
แตกต่างกันนั้นคือ ส่วนของข้อมูลอ้างอิงที่จะ
เพิ่มเข้าไปเมื่อไฟล์ .torrent มีการนำไปใช้
งาน ซึ่งเป็นรูปแบบการทำงานปกติของระบบ
BitTorrent โดยเมื่อทดลองตัดข้อมูลในส่วนที่
เพิ่มนี้ออกก็พบว่ามีข้อมูลตรงกับไฟล์ .torrent
ที่อยู่ในเครื่อง BitTorrent Server ทุกประการ
จึงสรุปได้ว่าไฟล์ .torrent ที่นำมาตรวจพิสูจน์
เป็นไฟล์ดาวน์โหลดมาจากเว็บไซต์ BitTorrent
Server ที่ได้รับการอ้างถึงจริง
ในการตรวจพิสูจน์ว่าไฟล์ .torrent ที่ได้รับ
มา สามารถนำไปสู่การดาวน์โหลดเพลงละเมิด
ลิขสิทธิ์ได้หรือไม่นั้น ศูนย์ดิจิทัลฟอเรนสิกส์ได้
ตรวจสอบข้อมูลของไฟล์ .torrent ที่ได้รับมา
ตรวจสอบ ก็พบว่ามีการระบุชื่อไฟล์ .mp3 รวม
ถึงขนาดของไฟล์ .mp3 เอาไว้ในไฟล์ .torrent
อย่างชัดเจน และตรงกับข้อมูลของไฟล์เพลง
ละเมิดลิขสิทธิ์ ที่ระบุว่าสามารถดาวน์โหลด
ได้โดยใช้ไฟล์ .torrent ดังกล่าว จึงสรุปได้
ว่า ไฟล์ .torrent ที่อยู่ในเครื่อง BitTorrent
Server และที่ผู้เสียหายดาวน์โหลดมาจาก
เว็บไซต์ดังกล่าว สามารถใช้ดาวน์โหลดเพลง
ละเมิดลิขสิทธิ์ได้จริง
ศูนย์ดิจิทัลฟอเรนสิกส์ได้สรุปข้อมูลและ
ส่งผลการตรวจพิสูจน์ไปยังหน่วยงานที่ร้องขอ
เพื่อใช้ในการดำเนินคดีตามกฎหมายต่อไป
จากการตรวจพิสูจน์พยานหลักฐานในกรณีนี้
ทำให้ศูนย์ดิจิทัลฟอเรนสิกส์มีประสบการณ์
ในการตรวจวิเคราะห์ข้อมูลในไฟล์ .torrent
และสามารถตรวจวิเคราะห์ข้อมูลในเครื่อง
BitTorrent Server เพื่อหาข้อมูลที่เกี่ยวข้อง
กับการดาวน์โหลดหรือแลกเปลี่ยนไฟล์ที่อาจ
เกี่ยวข้องกับการละเมิดลิขสิทธิ์ได้ในอนาคต

76
บทที่ 4.
การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร์

77
4.1 ประชุม อบรม
สัมมนา และกิจกรรม
อื่น ๆ
การพัฒนาศักยภาพบุคลากรให้พร้อม
รับมือภัยคุกคามไซเบอร์เป็นภารกิจที่ไทยเซิร์ต
ให้ความสำคัญและสนับสนุนอย่างต่อเนื่อง เช่น
การพัฒนาขีดความสามารถของเจ้าหน้าที่ไอที
หน่วยงานรัฐ การส่งผู้แทนเข้าร่วมการประชุม
สัมมนาในระดับนานาชาติในนามประเทศไทย
การอาสาเป็นเจ้าภาพเพื่อพัฒนาบุคลากร ทั้งนี้
ไทยเซิร์ต ได้ส่งผู้แทนเข้าร่วมการประชุมทาง
ด้านความมั่นคงปลอดภัยในกรอบความร่วม
มือระหว่างประเทศ ซึ่งครอบคลุมทั้งในระดับ
ปฏิบัติการ ผู้บริหารระดับกรม และรัฐมนตรี
ดังต่อไปนี้

78
4.1.1 ประชุมและสัมมนาที่ไทยเซิร์ต
เข้าร่วม
APCERT Annual
General Meeting &
Conference 2013
การประชุมคณะ
กรรมการความมั่นคง
ปลอดภัยไซเบอร์แห่งชาติ
ครั้งที่ 1
ไทยเซิร์ต ให้การสนับสนุนข้อมูลเชิง
เทคนิคแก่ฝ่ายเลขานุการคณะกรรมการความ
มั่นคงปลอดภัยไซเบอร์แห่งชาติ ในการจัดการ
ประชุมคณะกรรมการฯ ครั้งที่ 1/2556 เมื่อวัน
ที่ 11 มิถุนายน 2556 ซึ่งมีนายกรัฐมนตรีเป็น
ประธาน ในฐานะที่ไทยเซิร์ต เป็นกลไกหลักของ
ประเทศไทยด้านความมั่นคงปลอดภัยของสังคม
ออนไลน์และเป็นศูนย์กลางในการประสานความ
ร่วมมือกับเครือข่าย CERT ทั่วโลก นอกจากนี้
ไทยเซิร์ต ยังได้เสนอรูปแบบขั้นตอนการแจ้ง
และรับมือเหตุภัยคุกคาม ที่กระทบต่อความ
มั่นคงปลอดภัยทางด้านสารสนเทศจำนวน 4
ขั้นตอนที่ได้นำมาจากหลักเกณฑ์ตามกฎหมาย
และประสบการณ์ต่าง ๆ เช่น จากการดำเนิน
งานของ CERT ทั่วโลก ประกอบด้วยขั้นตอน 1)
การรับแจ้งเหตุ 2) การวิเคราะห์และประเมิน
ผลเบื้องต้น 3) การรายงานเหตุภัยคุกคามต่อ
ระดับนโยบาย 4) การยืนยันผลวิเคราะห์และ
การติดตามผล ซึ่งที่ประชุมคณะกรรมการฯ ได้
เห็นชอบตามที่เสนอ
Asia Pacific Computer Emergency
Response Team หรือ APCERT เป็นเครือ
ข่ายหน่วยงาน CERT ระดับประเทศในภูมิภาค
เอเชีย-แปซิฟิก ซึ่งไทยเซิร์ตก็เป็นหนึ่งในสิบ
หน่วยงานที่ร่วมกันก่อตั้ง APCERT เมื่อปี
2546 สำหรับการประชุมของสมาชิก APCERT
ประจำปี 2556 นี้จัดขึ้นที่เมืองบริสเบน ประเทศ
ออสเตรเลียในเดือนมีนาคม 2556 โดยมี
ผู้แทนจากหน่วยงาน CERT ของแต่ละประเทศ
รวมถึง ไทยเซิร์ต เข้าร่วมประชุมเพื่อนำเสนอ
เหตุภัยคุกคามในภาพรวมที่แต่ละหน่วยงาน
ได้พบและประสานงานเพื่อแก้ไขตลอดปีที่
ผ่านมา รวมถึงแนวทางปฏิบัติและเครื่องมือ

79
ต่าง ๆ ที่มีประโยชน์ต่อการพัฒนาการรับมือ
ภัยคุกคามอย่างมีประสิทธิภาพ นอกจากนี้
ยังมีผู้แทนจากหน่วยงานภาครัฐ ภาคเอกชน
และองค์กรอิสระ เช่น APNIC, Microsoft
และ Australian Federal Police เข้าร่วม
บรรยาย แลกเปลี่ยนความรู้ ความคิดเห็น
และประสบการณ์ ในหัวข้อที่เกี่ยวข้องกับ
วิวัฒนาการของภัยคุกคามด้านสารสนเทศ
ตั้งแต่สิ่งที่พบในอดีต จนถึงแนวโน้มที่จะเกิด
ขึ้นในอนาคต เพื่อเตรียมความพร้อมและ
พัฒนาศักยภาพในการเฝ้าระวัง และรับมือ
เหตุภัยคุกคาม
The 47 th and 48 th
Meetings of the
Telecommunications
and Information Wroking
Group (APEC TEL 47 &
APEC TEL 48)
ไทยเซิร์ต ได้รับมอบหมายให้ปฏิบัติหน้าที่
ในนาม สพธอ. เดินทางพร้อมกับคณะผู้แทน
ประเทศไทย เข้าร่วมการประชุมคณะทำงาน
เอเปคด้านโทรคมนาคมและสารสนเทศ (APEC
Telecommunications and Information
Working Group หรือ APEC TEL WG) ครั้งที่
47 ที่อินโดนีเซีย เมื่อเดือนเมษายน 2556 และ
ครั้งที่ 48 ที่สหรัฐอเมริกา เมื่อเดือนกันยายน
2556 โดยได้รับมอบหมายจากกระทรวง
เทคโนโลยีสารสนเทศและการสื่อสาร ให้
รับผิดชอบการประชุมกลุ่มย่อย Security
and Prosperity Steering Group (SPSG)
และปฏิบัติหน้าที่รองประธาน SPSG ในฐานะ
ตัวแทนประเทศไทยโดยมีวาระครองตำแหน่ง
เป็นเวลา 2 ปี ผู้แทนไทยเซิร์ตได้ร่วมเป็น
วิทยากรบรรยาย Cybercrime Experts Group
การเข้าร่วมแสดงความคิดเห็นในการประชุม
เชิงปฏิบัติการ Security of Mobile Device
Workshop และ Comparing Approach to
Botnet Prevention, Identification and
Mitigation Workshop เป็นต้น
The 2 nd ASEAN Network
Security Action Council
(ANSAC)
การประชุม ASEAN Network Security
Action Council หรือ ANSAC เมื่อวันที่ 19
สิงหาคม 2556 ที่เมืองมานาโด ประเทศ
อินโดนีเซีย เป็นอีกเวทีการประชุมที่ทีม CERT
ของภูมิภาคอาเซียนได้มีโอกาสร่วมแสดงความ
คิดเห็นและเผยแพร่บทบาทของ CERT ในการ
ช่วยปกป้องรักษาความมั่นคงปลอดภัยของ
ระบบเครือข่ายของภูมิภาคอาเซียนร่วมกัน
ในการประชุม The 2 nd ANSAC นี้ ผู้แทน
ไทยเซิร์ต ได้นเสนอข้อเสนอโครงการใหม่
“Common Incident Handling and
Escalation Framework” เพื่อผลักดันความ
ริเริ่มสองส่วนในอาเซียน คือ (1) การสำรวจข้อ
จำกัดทางกฎหมาย ระเบียบปฏิบัติในการให้
ความร่วมมือกันในการรับมือภัยคุกคามใน
ระดับประเทศหรือภูมิภาค (2) การกำหนด
แนวปฏิบัติร่วมกันในการรับมือภัยคุกคามและ
การยกระดับการรับมือภัยคุกคาม เพื่อใช้เป็น
แนวทางสำหรับการรับมือภัยคุกคามร่วมกัน
ของอาเซียน รวมถึงเป็นแนวทางในการพัฒนา
แนวปฏิบัติในการรับมือภัยคุกคามสารสนเทศ
สำหรับประเทศที่ยังไม่มี เพื่อพัฒนากรอบการ
ทำงานร่วมกันระหว่างหน่วยงานในอาเซียนใน
การรับมือกับเหตุการณ์ภัยคุกคามที่อาจส่งผลก
ระทบข้ามพรมแดน ซึ่งที่ประชุม ANSAC มีมติ
ให้สำรวจข้อจำกัดทางกฏหมายและระเบียบการ

80
ปฏิบัติในกลุ่มประเทศอาเซียนที่ชัดเจน ก่อนนำ
ข้อเสนอโครงการเข้ารับการพิจารณาในครั้งต่อไป
ทั้งนี้หากโครงการได้รับความเห็นชอบก็จำะเป็นโอกาส
ให้ไทยเซิร์ตได้พัฒนากรอบนโยบาย Common
Incident Handling and Escalation สหรับ
ใช้ร่วมกันในภูมิภาคอาเซียนต่อไป
The 5 th China Network
Security Seminar
การสัมมนา China-Asean Network
Security Seminar จัดขึ้นเป็นประจำทุกปี
โดย CNCERT/CC ซึ่งเป็นหน่วยงาน CERT
ของสาธารณรัฐประชาชนจีน โดยมีจุดประสงค์
เพื่อสร้างเครือข่ายความร่วมมือ และแลก
เปลี่ยนข้อมูลข่าวสารด้านความมั่นคงปลอดภัย
สารสนเทศ ระหว่างประเทศจีนและประเทศ
ในอาเซียน การสัมมนาครั้งนี้จัดขึ้นเป็นครั้งที่
5 โดยมีหน่วยงาน CERT จาก 7 ประเทศใน
อาเซียนเข้าร่วม นอกจากหน่วยงานต่าง ๆ จะ
ได้มีโอกาสแลกเปลี่ยนข้อมูลและความรู้ซึ่งกัน
และกันแล้ว CNCERT/CC ยังได้จัดวิทยากร
ที่มีความรู้ความสามารถ ในด้านความมั่นคง
ปลอดภัยสารสนเทศ มาบรรยายให้ความรู้แก่
ผู้เข้าร่วมงานอีกด้วย
The Underground
Economy 2013 (UE13)
งานสัมมนาวิชาการ The Underground
Economy 2013 (UE13) ได้รับการสนับสนุน
จากหน่วยงานตำรวจสากล Interpol และ
Team Cymru ซึ่งเป็นหน่วยงานวิจัยด้าน
ความมั่นคงปลอดภัยไซเบอร์ที่ไม่แสวงหาผล
กำไร ที่มีชื่อเสียงและเป็นที่รู้จักทั่วโลก โดย
จัดขึ้นเป็นประจำทุกปี ที่สำนักงานใหญ่ของ
Interpol ที่เมือง Lyon สาธารณรัฐฝรั่งเศส
เพื่อพัฒนาทักษะและความรู้ทางด้านความ
มั่นคงปลอดภัยไซเบอร์ และการตรวจพิสูจน์
พยานหลักฐานดิจิทัลในระดับสากลให้กลุ่มผู้
เชี่ยวชาญในสายยุติธรรมและผู้ที่เกี่ยวข้องใน
ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
ของประเทศ ไทยเซิร์ตได้รับคัดเลือกให้เป็น
ผู้แทนเข้าร่วมสัมมนาวิชาการ UE13 ซึ่งเป็น
ประโยชน์ต่อการดำเนินภารกิจของไทยเซิร์ต
ในด้านการพัฒนาองค์ความรู้ในเชิงวิชาการ
เทคนิคชั้นสูงเกี่ยวกับการรักษาความมั่นคง
ปลอดภัยไซเบอร์ อีกทั้งยังเป็นการสร้างเครือ
ข่ายกับกลุ่มผู้เชี่ยวชาญในสายยุติธรรมในระดับ
นานาชาติ เพื่อแลกเปลี่ยนประสบการณ์ใน
การรับมือภัยคุกคามฯ โดยเฉพาะภัยคุกคาม
รูปแบบใหม่ ๆ ที่มีแนวโน้มส่งผลกระทบและ
ความเสียหายต่อเศรษฐกิจและความเชื่อมั่น
ในการทำธุรกรรมอิเล็กทรอนิกส์ของประเทศ
ACID (ASEAN CERT
Incident Drill)
ASEAN CERT Incident Drill หรือ
ACID เป็นการซักซ้อมรับมือภัยคุกคามทาง
สารสนเทศ ระหว่างหน่วยงาน CERT ของประเทศ
ในภูมิภาคเอเชีย-แปซิฟิกที่จำัดขึ้นเป็นประจำทุกปี
เพื่อเตรียมความพร้อมในการรับมือเหตุภัย
คุกคามในสถานการณ์จริง และเป็นการสร้าง
เครือข่ายของหน่วยงาน CERT ในภูมิภาคให้
มีความแข็งแกร่ง โดยในปี 2556 ที่ผ่านมา
ไทยเซิร์ต และผู้แทนจากหน่วยงาน CERT อื่น ๆ
รวมทั้งสิ้นกว่า 14 หน่วยงาน เข้าร่วมการซักซ้อม
ที่จัดขึ้นโดย SingCERT ประเทศสิงคโปร์ ภายใต้
สถานการณ์จำลองที่เกี่ยวข้องกับเหตุการณ์การ
โจมตีเว็บไซต์และการเผยแพร่มัลแวร์ ซึ่งจะต้อง
อาศัยความรู้และทักษะในเชิงเทคนิค ไม่ว่าจะ
เป็นการวิเคราะห์ล็อกของระบบ การวิเคราะห์
พฤติกรรมของมัลแวร์ รวมถึงการประสานงาน

81
ไปยังผู้ที่เกี่ยวข้องเพื่อขอข้อมูลเพิ่มเติม และ
แจ้งรายละเอียดของเหตุภัยคุกคาม เพื่อให้
ผู้ที่เกี่ยวข้องดำเนินการแก้ไขปัญหา
Black Hat USA
2013 & DEFCON 21
Conferences
Black Hat USA 2013 และ DEFCON
21 Conference เป็นงานประชุมประจำปีด้าน
ความมั่นคงปลอดภัยไซเบอร์ ที่มีเหล่าบรรดา
ผู้เชี่ยวชาญด้าน Computer Security ทั่วโลก
มารวมตัวกัน เพื่อแลกเปลี่ยนความรู้และรับ
ฟังการบรรยายในหัวข้อต่าง ๆ ที่เป็นประเด็น
เด่นที่น่าสนใจเกี่ยวกับความมั่นคงปลอดภัย
ไซเบอร์ โดยทั้งสองงานจัดขึ้นต่อเนื่องกันในช่วง
เดือนสิงหาคม 2556 ที่ลาสเวกัส สหรัฐอเมริกา
และเป็นอีกครั้งที่ไทยเซิร์ต ได้มีโอกาสส่ง
ผู้แทนเข้าร่วมงานดังกล่าว เพื่อเพิ่มพูนความรู้
ทางด้านความมั่นคงปลอดภัยไซเบอร์ในระดับ
ผู้เชี่ยวชาญ โดยเฉพาะข้อมูลภัยคุกคามรูปแบบ
ใหม่ ๆ และนำความรู้ที่ได้กลับมาถ่ายทอดให้
กับทีมงานและผู้ที่เกี่ยวข้องได้รับทราบ เพื่อให้
เกิดประโยชน์ต่อการดำเนินงานของไทยเซิร์ต
ในการพัฒนาองค์ความรู้ในเชิงวิชาการเทคนิค
ชั้นสูงเกี่ยวกับการรักษาความมั่นคงปลอดภัย
ไซเบอร์
14 th ASEAN
Telecommunications
and IT Senior
Officials Meeting:
(ASEAN TELSOM)
และ 13 th ASEAN
Telecommunications
and IT Ministers
Meeting: (ASEAN
TELMIN)
ไทยเซิร์ต ได้มีโอกาสติดตามผู้บริหารระดับ
สูงของกระทรวงเทคโนโลยีสารสนเทศและ
การสื่อสาร เข้าร่วมการประชุมและสนับสนุน
ข้อมูลทางเทคนิคให้แก่ท่านรัฐมนตรีและปลัด
กระทรวงฯ ในการประชุม ASEAN TELSOM
และ TELMIN ซึ่งเป็นเวทีการประชุมระหว่าง
รัฐมนตรีของอาเซียน (TELMIN) และผู้บริหาร
ระดับสูงของอาเซียน (TELSOM) ที่รับผิดชอบ
ด้าน Telecommunication และ IT จัดขึ้นใน
เดือนพฤศจิกายน 2556 ที่สิงคโปร์ โดยผู้แทน
ไทยเซิร์ต ได้รายงานผลการดเนินโครงการใน
ความรับผิดชอบของ สพธอ. ได้แก่ โครงการ
Intra-ASEAN Secure Transactions
Framework ให้ที่ประชุมได้รับทราบ
ซึ่งโครงการนี้เป็นกิจกรรมหนึ่งที่มีความสำคัญ
ภายใต้แผนแม่บทไอซีทีอาเซียน 2015 (ASEAN
ICT Masterplan 2015) ซึ่งจะช่วยให้การทำ
ธุรกรรมทางอิเล็กทรอนิกส์ระหว่างประเทศ
อาเซียนมีความมั่นคงปลอดภัย

82
4.1.2 ศึกษาดูงาน
การศึกษาดูงานศูนย์
ปฏิบัติการด้านความมั่นคง
ปลอดภัยสารสนเทศของ
ประเทศเกาหลี ณ Korea
Internet & Security
Agency (KISA) และ
Korea Post Information
Center (KPIC)
ภารกิจหลักที่สำคัญหนึ่งของไทยเซิร์ต
คือการเฝ้าระวังสถานการณ์ และประสาน
งานแก้ไขร่วมกับหน่วยงานที่เกี่ยวข้อง ใน
กรณีที่เกิดเหตุภัยคุกคาม ไทยเซิร์ตจึงได้
วางแผนการสร้างศูนย์ปฏิบัติการด้านความมั่นคง
ปลอดภัยสารสนเทศ (Security Operation Center
หรือ SOC) ขึ้น ณ สนักงานแห่งใหม่ของ สพธอ.
เพื่อรองรับและขยายขีดความสามารถในการ
ปฏิบัติงานดังกล่าวในอนาคต อย่างไรก็ตาม
ปัจจุบันในประเทศไทย ยังไม่มีศูนย์ปฏิบัติ
การด้านความมั่นคงปลอดภัยสารสนเทศที่มี
ความทันสมัย และมีระบบบริหารจัดการที่มี
มาตรฐานทัดเทียมกับประเทศชั้นนำในต่าง
ประเทศ ดังนั้น กรรมการบริหาร ที่ปรึกษา
ผู้อำนวยการ สพธอ. รวมถึงเจ้าหน้าที่ของ
ไทยเซิร์ต จึงได้เดินทางไปเยี่ยมชมศูนย์ปฏิบัติ
การฯ ของ Korea Internet & Security
Agency หรือ KISA และ Korea Post
Information Center หรือ KPIC ณ ประเทศ
เกาหลีใต้ เพื่อศึกษา และเรียนรู้หลักแนวคิดใน
การพัฒนา โครงสร้างของศูนย์ปฏิบัติการฯ ทั้ง
ในด้านกายภาพและการบริหารจัดการ แล้วนำ
ข้อมูลที่ได้มาศึกษาค้นคว้าเพิ่มเติม เพื่อนำมา
ปรับใช้กับการสร้างศูนย์ปฏิบัติการ SOC ของ
ไทยเซิร์ต ต่อไป
สังเกตการณ์การซักซ้อม
รับมือภัยคุกคามทางไซเบอร์
Cyber Offensive and
Defensive Exercise
(CODE) Program ประเทศ
ไต้หวัน
ไทยเซิร์ต ได้รับเชิญเป็นแขกกิตติมศักดิ์
เข้าร่วมสังเกตการณ์ การซักซ้อมรับมือภัย
คุกคาม Cyber Offensive and Defensive
Exercise (CODE) Program ระหว่างวันที่

83
2-5 ธันวาคม 2556 ร่วมกับผู้สังเกตการณ์
จากมาเลเซีย สาธารณรัฐสโลวัก และ
สหรัฐอเมริกา ผู้แทนไทยเซิร์ตมีโอกาสได้สังเกต
การซักซ้อมและเตรียมความพร้อมต่อภัยคุกคาม
ทางไซเบอร์ทั้ง Red Team และ Blue Team
ของหน่วยงานภาครัฐครั้งใหญ่ของประเทศไต้หวัน
มีการทดสอบทั้งแบบ Table Top และ Live-
Action Exercie และยังได้มีโอกาสเยี่ยมดูงาน
หน่วยงานที่สำคัญ เช่น National Information
and Communication Security Taskforce
(NICS), The Investigation Bureau of the
Ministry of Justice, The Fiscal Information
Agency, Ministry of Finance, National
Police Agency และ Criminal Investigation
Bureau ทำให้ไทยเซิร์ตได้เก็บเกี่ยวความรู้
และประสบการณ์หลาย ๆ ด้านจากมุมมอง
ของหน่วยงานด้านความมั่นคง ปลอดภัยของ
ประเทศไต้หวัน ซึ่งสามารถนำมาเป็นตัวอย่าง
ในการประยุกต์ใช้ปรับปรุงแนวปฏิบัติภายใน
ของไทยเซิร์ตให้ดีและสมบูรณ์ยิ่งขึ้น
4.1.3 กิจกรรมที่ไทยเซิร์ตเป็นเจ้าภาพ
เจ้าภาพจัดการประชุม 25 th
Annual FIRST Conference
ในปี 2556 ไทยเซิร์ต ได้รับเกียรติให้
เป็นเจ้าภาพร่วมจัดงานสัมมนาและประชุม
ประจำปีของ Forum of Incident Response
and Security Teams หรือ FIRST ครั้ง
ที่ 25 (25 th Annual FIRST Conference
2013) ในระหว่างวันที ่ 16 – 21 มิถุนายน
2556 ณ โรงแรมคอนราด กรุงเทพมหานคร
โดยนายกรัฐมนตรี ในฐานะที่เป็นประธาน
คณะกรรมการความมั่นคง ปลอดภัยไซเบอร์
แห่งชาติ ได้เดินทางมาเป็นประธานเปิดงาน
การประชุมในครั้งนี้ ถือเป็นเวทีสำคัญด้าน
การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย
มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์
มากกว่า 500 คนจำาก CERT ในระดับประเทศทุก
ภูมิภาคทั่วโลกมากกว่า 300 องค์กรเข้าร่วมงาน
เพื่อแลกเปลี่ยนความรู้ ความคิดเห็น แนว
โน้มภัยคุกคามรูปแบบใหม่ ๆ และการพัฒนา
ระบบการรักษาความมั่นคงปลอดภัยในระดับ
สากล รวมถึง การนำเสนอข้อมูลเชิงวิชาการ
และเครื่องมือสารสนเทศ ซึ่งจะเป็นประโยชน์
ในการนำมาปรับปรุง และพัฒนาการดำเนิน
งานของ CERT ให้สอดคล้องกับแนวทางใน
ระดับสากลมากขึ้น นอกจากนี้ ยังเป็นการสร้าง
เครือข่ายและกระชับความสัมพันธ์ระหว่างผู้
ปฏิบัติงานของ CERT รวมถึงสร้างโอกาสให้
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์
ของประเทศไทยได้พบปะหารือกับผู้เชี่ยวชาญ
ในระดับนานาชาติเพื่อแลกเปลี่ยนประสบการณ์
การจัดงานประชุมในครั้งนี้ ส่งผลให้ไทยเซิร์ต
เป็นที่รู้จักในเวทีนานาชาติ และมีความราบรื่นใน
การประสานงานรับมือภัยคุกคามมากขึ้น อีก
ทั้งยังเป็นการช่วยกระตุ้นให้คนไทยตระหนักถึง
ความสำคัญของ Cybersecurity และเป็นการ
แสดงศักยภาพของประเทศในการจัดการประชุม
ระดับนานาชาติ สร้างภาพลักษณ์ที่ดีให้กับ
ประเทศไทย รวมทั้งเป็นการกระตุ้นเศรษฐกิจ
ในระดับท้องถิ่นของประเทศอีกทางหนึ่งด้วย

84
เจ้าภาพการซักซ้อมรับมือ
ภัยคุกคามของหน่วยงาน
ภาครัฐและภาคธนาคาร
ประจำปี 2556
การซักซ้อมรับมือภัยคุกคามหรือ Cyber
Drill เป็นการเตรียมความพร้อมให้กับหน่วยงาน
ในการรับมือภัยคุกคามที่อาจเกิดขึ้นภายใน
หน่วยงาน และช่วยให้หน่วยงานรับทราบถึง
กระบวนการในการรับมือที่เหมาะสม โดยผู้
เข้าร่วมจะต้องวิเคราะห์เหตุภัยคุกคาม และ
ประสานงานไปยังหน่วยงานที่เกี่ยวข้องภาย
ใต้สถานการณ์จำลองที่กำหนดขึ้นในปี 2556
ไทยเซิร์ต ได้จำัดการซักซ้อมรับมือภัยคุกคาม
2 ครั้ง ร่วมกับหน่วยงานของรัฐ 26
หน่วยงาน และกลุ่มธนาคาร 16 แห่ง
ซึ่งในปีนี้ได้จำลองเหตุภัยคุกคามที่เกี่ยวข้องกับ
การเผยแพร่มัลแวร์บนเว็บไซต์ ซึ่งมีทั้งมัลแวร์
ที่ทำงานบนระบบปฏิบัติการ Windows และ
Android ผู้เข้าร่วมได้รับการฝึกให้วิเคราะห์หา
ต้นเหตุสถานการณ์ภัยคุกคามจากหลักฐานที่
ตรวจพบภายในอุปกรณ์เครือข่าย เซิร์ฟเวอร์
และเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ ที่ทีม
ไทยเซิร์ตจำลองขึ้นมา รวมถึงวิเคราะห์
พฤติกรรมการทำงานของมัลแวร์ เพื่อรวบรวม
ข้อมูลในการประสานงาน แจ้งเหตุไปยัง
หน่วยงานที่เกี่ยวข้อง ให้ดำเนินการแก้ไขต่อ
ไป ทั้งนี้คาดหวังว่าหน่วยงานที่เข้าร่วมซักซ้อม
รับมือภัยคุกคามจะสามารถนำความรู้ที่ได้รับ
ไปเผยแพร่ต่อไปในหน่วยงานของตนเอง เพื่อ
ให้หน่วยงานรัฐและธนาคารอันเป็นโครงสร้าง
พื้นฐานสำคัญของประเทศมีความเข้มแข็ง และ
มั่นคงปลอดภัย
เจ้าภาพจัดการฝึกอบรม
และสอบวัดระดับเพื่อพัฒนา
มาตรฐานการรับรอง
บุคลากรด้านความมั่นคง
ปลอดภัยระบบสารสนเทศ
ของประเทศไทย
ในเดือนพฤษภาคม 2556 ไทยเซิร์ต ได้
ร่วมมือกับ Thailand Information Security
Association หรือ TISA ซึ่งเป็นสมาคมของกลุ่ม
นักวิชาชีพด้านความมั่นคงปลอดภัยสารสนเทศ
ในประเทศไทย จัดการฝึกอบรมและสอบวัด
ระดับด้านความมั่นคงปลอดภัยสารสนเทศ รุ่น
ที่ 1 โดยมีวัตถุประสงค์เพื่อกำหนดและพัฒนา
มาตรฐานการรับรองสมรรถนะของบุคลากรด้าน
ความมั่นคงปลอดภัยสารสนเทศภายในประเทศ
ผู้ที่สอบผ่านจะได้ใบรับรอง Information
Security Expert Certification หรือ iSEC
โดยแบ่งออกเป็น 2 กลุ่ม ได้แก่ ผู้เชี่ยวชาญ
ด้านความมั่นคงปลอดภัยสารสนเทศ ด้านการ
บริหารจัดการ (iSEC-M) และผู้เชี่ยวชาญด้าน
ความมั่นคงปลอดภัยสารสนเทศ ด้านเทคนิค
(iSEC-T) และในแต่ละกลุ่มยังแบ่งออกเป็น
3 ระดับ ซึ ่งใบรับรอง iSEC ในแต่ละระดับ
จะมีเกณฑ์ในการเทียบกับใบรับรองสากล
จากต่างประเทศ เช่น CISSP, CISA, CISM,
GSEC และ Security+ ผลการจัดกิจกรรมนี้มี
ผู้เข้าร่วมการฝึกอบรมและสอบวัดระดับจำนวน
124 คน จำากหน่วยงานภาครัฐ ภาคเอกชน และ
บุคคลทั่วไป มีผู้ที่สอบผ่านได้ใบรับรอง iSEC-M
จำนวน 11 คน และ iSEC-T จำนวน 9 คน

85
เจ้าภาพจัดการประชุม
The 3 rd ASEAN-Japan
Information Security
Policy Workshop
ไทยเซิร์ต ในนามประเทศไทยเป็น
เจ้าภาพจัดการประชุม ASEAN-Japan
Information Security Workshop 2013
ระหว่างวันที่ 7-8 กุมภาพันธ์ 2556 ที่
กรุงเทพฯ ร่วมกับกระทรวงสารสนเทศและ
การสื่อสาร (Ministry of Information and
Communication - MIC) ประเทศญี่ปุ่น เพื่อ
สร้างความร่วมมือด้านความมั่นคงปลอดภัย
ระหว่างประเทศในภูมิภาคอาเซียนและประเทศญี่ปุ่น
และเป็นเวทีให้ผู้เชี่ยวชาญด้านการรักษาความมั่นคง
ปลอดภัยในประเทศอาเซียน และญี่ปุ่นได้แลกเปลี่ยน
ความคิดเห็นและประสบการณ์ และเปิดโอกาสใน
การสร้างความความร่วมมือระหว่างประเทศ
เพื่อสร้างความร่วมมือในการรับมือภัยคุกคาม
นอกจากนี้ ไทยเซิร์ต และ MIC ยังใช้โอกาสนี้
ร่วมลงนามบันทึกข้อตกลงความร่วมมือ
โครงการ Proactive Response
Against Cyber-Attacks Through
International Collaborative Exchange
หรือที่เรียกสั้น ๆ ว่า โครงการ PRACTICE
ซึ่งเป็นความร่วมมือทางเทคนิค ในการเก็บ
รวบรวมข้อมูลจราจรคอมพิวเตอร์ และแลก
เปลี่ยนข้อมูลผลการวิเคราะห์ข้อมูลจราจร
คอมพิวเตอร์ ที่อาจเป็นภัยคุกคามต่อระบบ
เครือข่าย รวมทั้งการวิเคราะห์แนวโน้มและ
วิธีการรับมือภัยคุกคามด้านสารสนเทศอย่างมี
ประสิทธิภาพ และการพัฒนาเทคนิคการป้องกัน
ภัยคุกคามด้านสารสนเทศในเชิงรุกร่วมกัน
เจ้าภาพร่วมกับ OWASP
จัดงาน ETDA and
OWASP: Open Web
and Application
Security Day
ในเดือนกรกฎาคม 2556 ไทยเซิร์ตได้
ร่วมมือกับ Open Web Application Security
Project หรือ OWASP ซึ่งเป็นหน่วยงานไม่
แสวงผลกำไร ที่มีภารกิจหลักในการส่งเสริม
และพัฒนาความรู้ด้านความมั่นคงปลอดภัย
ของเว็บไซต์ ร่วมกันจัดการอบรมเชิงปฏิบัติ
การการพัฒนา Secure Web Application
ให้กับนักพัฒนาและผู้ดูแลเว็บไซต์ไทย โดยได้
รับเกียรติจากกรรมการบริหารของ OWASP
London Chapter เป็นวิทยากรมาบรรยาย
มุ่งเน้นหัวข้อการเรียนรู้ช่องโหว่และเทคนิคการ
โจำมตีเว็บไซต์ที่พบเห็นในปัจำจำุบัน ดังที่รวบรวม
ไว้ใน OWASP Top 10 เช่น Injection,
Broken Authentication and Session
Management และ Cross-site Scripting
รวมถึงเทคนิคในการพัฒนาเว็บไซต์ให้มีความ
มั่นคงปลอดภัย ซึ่งจะเป็นการส่งเสริมให้นัก
พัฒนาและผู้ดูแลเว็บไซต์ของไทย มีความรู้และ
ทักษะในด้านการรักษาความมั่นคงปลอดภัย
ของเว็บไซต์ ส่งผลให้เกิดเหตุภัยคุกคามที่
เกี่ยวข้องกับเว็บไซต์ลดน้อยลงในอนาคต
ซึ่งกิจกรรมครั้งนี้ได้รับความสนใจ ทั้งจาก
หน่วยงานภาครัฐและรัฐวิสาหกิจเข้าร่วมงาน
ในครั้งนี้เป็นจำนวนมาก

86
เจ้าภาพร่วมกับ EC-Council
จัดการอบรมหลักสูตร
Certified Ethical Hacker
ภายหลังลงนามในบันทึกข้อตกลงความ
ร่วมมือระหว่าง ไทยเซิร์ต และ EC-Council
ซึ่งมีวัตถุประสงค์เพื่อส่งเสริม และพัฒนา
ทักษะด้านความมั่นคงปลอดภัยสารสนเทศ
ของบุคลากรภายในประเทศ สองหน่วยงาน
ก็ได้ร่วมกันเป็นเจ้าภาพ จำัดการฝึกอบรมใน
หลักสูตร Certified Ethical Hacker หรือ
CEH ในเดือนสิงหาคม 2556 โดยได้รับเกียรติ
จำากผู้เชี่ยวชาญของ EC-Council เป็นวิทยากร
ฝึกอบรมกับผู้แทนจากหน่วยงานภาครัฐหลาย
แห่ง เช่น กระทรวงเทคโนโลยีสารสนเทศและ
การสื่อสาร กรมสอบสวนคดีพิเศษ กองทัพ
เรือ กองทัพอากาศ กระทรวงสาธารณสุข
และธนาคารแห่งประเทศไทย ซึ่งผลการจัด
อบรมในครั้งนี้ก็ประสบผลสำเร็จ จากจำนวน
ผู้ที่เข้ารับการฝึกอบรมรวมทั้งสิ้น 20 คน มี
ผู้ที่สามารถสอบผ่านและได้ประกาศนียบัตร
CEH จำนวน 18 คน
เจ้าภาพร่วมกับ JPCERT
ฝึกอบรมด้านความมั่นคง
ปลอดภัยสารสนเทศให้กับ
LaoCERT
สืบเนื่องจากการลงนามในบันทึกข้อ
ตกลงความร่วมมือด้านการพัฒนาทักษะและ
ศักยภาพของบุคลากร ระหว่าง ไทยเซิร์ต
และ LaoCERT ในเดือนกรกฎาคม 2556
เพื่อประสานงานรับมือ และแก้ไขปัญหาเหตุ
ภัยคุกคาม วิศวกรของไทยเซิร์ตได้รับเชิญให้
เป็นวิทยากรร่วมกับเจ้าหน้าที่ของ JPCERT/
CC ประเทศญี่ปุ่น ในการอบรมภายใต้หัวข้อ
Basic Understanding of CSIRT and
Incident Response Training ณ สปป. ลาว
ในเดือนตุลาคม 2556 โดยเจ้าหน้าที่ของ
ไทยเซิร์ต ได้เป็นผู้บรรยายในหัวข้อหลักการ
และความรู้พื้นฐานของการรักษาความมั่นคง
ปลอดภัยสารสนเทศ รวมถึงเป็นผู้อบรมเชิง
ปฏิบัติการในการติดตั้งและใช้งานระบบบันทึก
และติดตามการแจ้งเหตุภัยคุกคาม

ITU Telecom World
2013
ผู้อนวยการ สพธอ. ได้รับเชิญให้เข้าร่วม
บรรยายและอภิปรายในหัวข้อ “Mobile Security
Challenge and Policy in ASEAN” ในงานประชุม
สัมมนาระดับโลก ITU Telecom World 2013
87
กรุงเทพ ซึ่งเป็นงานประชุมประจำปีของ
สหภาพโทรคมนาคมระหว่างประเทศ หรือ
International Telecommunication Union
ที่มีผู ้สนใจเข้าร่วมงานทั้งคนไทยและต่างชาติ
กว่า 20,000 คน จากกว่า 700 องค์กร 193
ประเทศ เนื ้อหาสรุปของการอภิปรายโดย
ผู้อำนวยการ สพธอ. นั้น ได้คาดการณ์
ถึงแนวโน้มของการใช้งาน โทรศัพท์มือถือ
และบริการสื่อสังคม ออนไลน์ที่เพิ่มขึ้นใน
ประเทศไทย รูปแบบภัยคุกคามที่เคยเกิดขึ้น
และส่งผลกระทบต่อผู้ใช้งานสมาร์ตโฟน และ
ภารกิจของ ไทยเซิร์ต สพธอ. ในด้านการรักษา
ความมั ่นคงปลอดภัยทางไซเบอร์ ซึ่งถือเป็น
กลไกหนึ่งที่สำคัญหนึ่ง ในการเฝ้าระวังและ
สร้างภูมิคุ้มกันให้กับสังคมออนไลน์ของประเทศ
vent

88
4.2 ประกาศนียบัตร
วิชาชีพด้านความมั่นคง
ปลอดภัยไซเบอร์
บุคลากรไทยเซิร์ตได้รับประกาศนียบัตร
วิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ที่ได้
รับการยอมรับในระดับสากลในสาขาต่าง ๆ
เฉพาะในปี 2556 รวมทั้งสิ้น 25 ใบ
ตารางที่ 5
ประกาศนียบัตรวิชาชีพด้านความมั่นคง
ปลอดภัยไซเบอร์ที่บุคลากร ThaiCERT ได้รับ
สาขา ประกาศนียบัตร สถาบัน จำนวน
Security
Administration
Forensics
Management
Audit
GIAC Security Essentials (GSEC)
1
GIAC Certified Intrusion Analyst (GCIA)
Global Information Assurance
Certification (GIAC)
1
GIAC Penetration Tester (GPEN) 1
Security+ CompTIA 8
Certified Ethical Hacker (CEH) EC-Council 1
GIAC Certified Forensic Examiner (GCFE)
Global Information Assurance
Certification (GIAC)
AccessData Certified Examiner
2
AccessData
AccessData Mobile Examiner 2
EnCase Certified Examiner (EnCE) Guidance Software 1
Certified Forensic Computer Examiner (CFCE)
Certified Information Systems Security
Professional (CISSP)
ISMS Lead Auditor
International Association
of Computer Investigative
Specialists (IACIS)
International Information
Systems Security Certification
Consortium (ISC)²
International Register of
Certificated Auditors (IRCA)
2
1
3
2

89
GIAC Security Essentials (GSEC)
เป็นประกาศนียบัตร สำหรับผู้เชี่ยวชาญด้าน
ความมั่นคงปลอดภัยที่ครอบคลุมเนื้อ หาที่
หลากหลาย ผู้ได้รับประกาศนียบัตรต้องมี
ความรู้ความเข้าใจในด้านความมั่นคงปลอดภัย
สารสนเทศและพร้อมจะนำไปใช้ปฏิบัติงานใน
หน่วยงานได้จริง
ระบบเครือข่ายเป้าหมายเพื่อค้นหาช่องโหว่
ของระบบ โดยมีเนื ้อหาครอบคลุมไปถึงการ
ทดสอบเจาะระบบ (Penetration Testing)
ข้อกฎหมายเกี่ยวกับการ ทดสอบเจาะระบบ
และการดำเนินการ ทดสอบเจาะระบบอย่าง
เหมาะสม รวมถึงเทคนิคต่าง ๆ ในการทดสอบ
เจาะระบบ
Certified Ethical Hacker (CEH)
เป็นประกาศนียบัตรสำหรับผู้เชี่ยวชาญในการ
ทดสอบเจาะระบบซึ่งออกโดย EC-Council
โดยเนื้อหา ครอบคลุมถึงเรื่องช่องโหว่ของ
ระบบ เทคนิคการโจมตี และเครื่องมือในการ
เจาะระบบที่รวบรวมมาจากชุมชนนักวิจัยด้าน
ความมั่นคงปลอดภัย
AccessData Certified Examiner
(ACE) เป็นประกาศนียบัตรจากบริษัท
AccessData เพื่อรับรองว่า ผู้เชี่ยวชาญมี
ความรู้พื้นฐาน เรื่องการตรวจพิสูจน์พยาน
หลักฐานดิจิทัล และมีความชำนาญในการใช้
งานโปรแกรม Forensic Toolkit (FTK) ของ
AccessData ในการตรวจพิสูจน์หลักฐาน
GIAC Certified Intrusion Analyst
(GCIA) เป็นประกาศนียบัตรสำหรับผู้เชี่ยวชาญ
ที่มีความรู้ และทักษะความสามารถในการติด
ตั้ง ปรับแต่ง และเฝ้าติดตามระบบตรวจหาการ
บุกรุก ที่สามารถนำข้อมูลจราจรของระบบ
เครือข่ายมาแปลความหมายและวิเคราะห์ได้
อย่างมีประสิทธิภาพ
GIAC Penetration Tester (GPEN)
เป็นประกาศนียบัตรสำหรับผู้เชี่ยวชาญด้าน
ความมั่นคงปลอดภัยที่มีหน้าที่ในการประเมิน
Security+ เป็นประกาศนียบัตรด้านความ
มั่นคงปลอดภัยจาก CompTIA ที่พัฒนาขึ้นมา
ในปี พ.ศ. 2545 เพื่อทดสอบพื้นฐานความรู้ทาง
ด้านความมั่นคงปลอดภัยของระบบเครือข่าย
การใช้เครื ่องมือ และขั้นตอนการดำเนินงาน
เพื่อตอบสนองต่อเหตุการณ์ด้านความมั่นคง
ปลอดภัย รวมไปถึงหัวข้อเชิงธุรกิจอย่างเช่น
การบริหารความเสี่ยงและการรับมือภัยคุกคาม
ทางสารสนเทศ
GIAC Certified Forensic Examiner
(GCFE) เป็นประกาศนียบัตรสำหรับผู้เชี่ยวชาญ
ที่มีความรู้ความเข้าใจในการวิเคราะห์พิสูจน์
หลักฐานทางคอมพิวเตอร์ โดยจะเน้นทักษะ
สำคัญในการรวบรวมและวิเคราะห์ข้อมูลจาก
คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows
รวมไปถึงการจัดทำรายงาน การค้นหาและ
จัดเก็บหลักฐาน การตรวจค้นหลักฐานทาง
เบราว์เซอร์ และการติดตามร่องรอยการทำงาน
ของผู้ใช้กับแอปพลิเคชันในระบบปฏิบัติการ
Windows
AccessData Mobile Examiner
(AME) เป็นประกาศนียบัตรจากบริษัท
AccessData เพื่อรับรองว่า ผู้เชี่ยวชาญมี
ความสามารถในการใช้งานโปรแกรม Mobile
Phone Examiner Plus (MEP+) และมีความ
รู้ความเข้าใจในกระบวนการทำงานของระบบ
โทรศัพท์มือถือและเทคโนโลยีต่าง ๆ ที่เกี่ยวข้อง
สำหรับพิสูจน์พยานหลักฐานดิจิทัล

90
EnCase Certified Examiner (EnCE)
เป็นประกาศนียบัตรเพื่อรับรองว่า ผู้เชี่ยวชาญมี
ความสามารถในการใช้งานซอฟต์แวร์ EnCase
ของบริษัท Guidance Software ในการตรวจ
พิสูจน์พยานหลักฐานทางดิจิทัล
Certified Forensic Computer
Examiner (CFCE) เป็นประกาศนียบัตรเพื่อ
รับรองว่า ผู้เชี่ยวชาญมีความสามารถหลาก
หลายในด้านการตรวจพิสูจน์พยานหลักฐานทาง
ดิจิทัลหรือคอมพิวเตอร์ ที่ใช้ระบบปฏิบัติการ
Windows ซึ่งใบรับรองนี้ออกให้โดยหน่วยงาน
International Association of Computer
Investigative Specialists (IACIS)
Certified Information Systems
Security Professional (CISSP) เป็น
ประกาศนียบัตรด้านการบริหารความมั่นคง
ปลอดภัยที่ได้รับการยอมรับทั่วโลก โดยมีหน่วย
งาน International Information Systems
Security Certification Consortium หรือ
ที่เรียกว่า (ISC)² เป็นผู้รับผิดชอบ และจัดเป็น
ประกาศนียบัตรด้านความมั่นคงปลอดภัยฉบับ
แรกที่ได้รับการรับรองตามมาตรฐาน ANSI ISO/
IEC 17024:2003 นอกจากนี้แล้ว ยังได้รับการ
รับรองจากกระทรวงกลาโหมแห่งสหรัฐอเมริกา
ในด้าน Information Assurance Technical
(IAT) และ Managerial (IAM)
ISMS Lead Auditor เป็นประกาศนียบัตร
ที่หน่วยงาน IRCA ออกให้กับผู้เชี่ยวชาญ
ด้านความมั่นคงปลอดภัยสารสนเทศที่ผ่านการ
ทดสอบ ซึ่งจะต้องมีความรู้และทักษะที่จำเป็น
ในการตรวจสอบ และประเมินระบบบริหาร
จัดการความมั่นคงปลอดภัยสารสนเทศของ
องค์กร ว่าสอดคล้องและเป็นไปตามมาตรฐาน
ISO 27001 หรือไม่
4.3 ข้อตกลงความ
ร่วมมือกับหน่วยงาน
ทั้งในและต่างประเทศ
เนื่องด้วย หนึ่งในแผนยุทธศาสตร์ของ
สพธอ. ปี 2555-2558 ต้องการส่งเสริมและ
สนับสนุนการเพิ่มทักษะ ด้านความมั่นคง
ปลอดภัยสารสนเทศ ให้แก่ผู้ประกอบการ ภาค
รัฐ ประชาชน และสนับสนุนการพัฒนากําลัง
คนระดับวิชาชีพให้เพียงพอกับความต้องการ
ของประเทศ ดังนั้น ไทยเซิร์ต ซึ่งอยู่ภายใต้การ
กํากับของ สพธอ. จึงได้มุ่งเน้นการพัฒนาความ
รู้และทักษะด้านความมั่นคงปลอดภัยและการ
ตรวจพิสูจน์หลักฐานทางดิจิทัล โดยเริ่มต้นจาก
บุคลากรของไทยเซิร์ต ด้วยการส่งเสริมให้ได้รับ
ความรู้ และสอบประกาศนียบัตรวิชาชีพด้าน
ความมั่นคงปลอดภัยไซเบอร์ในระดับสากล รวม
ถึงการจัดฝึกอบรมให้กับบุคคลจากหน่วยงาน
ในหลายภาคส่วน ซึ่งเป็นผลสืบเนื่องมาจากการ
ลงนามข้อตกลงความร่วมมือ (Memorandum
of Understanding: MoU) กับหน่วยงาน
ทั้งภายในและต่างประเทศ เพื ่อเสริมสร้าง
ความแข็งแกร่งด้านความมั่นคงปลอดภัยทาง
สารสนเทศ ตลอดจนพัฒนาและยกระดับ
ความสามารถของผู้เชี่ยวชาญในประเทศ ส่ง
เสริมและสนับสนุนความร่วมมือในการป้องกัน
และแก้ไขปัญหาภัยคุกคามทางสารสนเทศ
ซึ่งจําเป็นต้องใช้ทรัพยากรบุคคลที่มีคุณภาพ
ข้อมูลข่าวสารที่พร้อมและทันเหตุการณ์ รวม
ทั้งการประสานงานกันระหว่างหน่วยงาน โดย
ในปี 2555 ได้ลงนามบันทึกข้อตกลงความ
ร่วมมือกับ JPCERT/CC (Japan Computer
Emergency Response Team Coordination
Center), APWG (Anti-Phishing Working
Group) และ Team Cymru และในปี 2556
ไทยเซิร์ต ได้ขยายเครือข่ายความร่วมมือกับ
หน่วยงาน ดังต่อไปนี้

91
MIC (Ministry of
Internal Affairs and
Communications),
Japan
สืบเนื่องจากการหารือทวิภาคี ระหว่าง
ประเทศไทยและญี่ปุ่น ซึ่งรัฐมนตรีว่าการ
กระทรวงไอซีทีของไทย ได้ตอบรับเข้าร่วม
โครงการ Proactive Response Against
Cyber-attacks Through International
Collaborative Exchange หรือ PRACTICE
ในระหว่างการประชุมรัฐมนตรีเอเปคด้าน
โทรคมนาคมและอุตสาหกรรมสารสนเทศ ครั้ง
ที่ 9 ณ นครเซนต์ปีเตอร์สเบิร์ก สหพันธรัฐ
รัสเซีย สพธอ. ในฐานะที่เป็นตัวแทนของฝ่าย
ไทย จึงได้ลงนามในบันทึกข้อตกลงความร่วม
มือกับ Information and Communication
Bureau, Ministry of Internal Affairs
and Communications of Japan โดย
โครงการดังกล่าวมีวัตถุประสงค์หลัก คือ
การเก็บรวบรวมและวิจำัยข้อมูลภัยคุกคาม เพื่อ
นไปพัฒนาวิธีการป้องกันและรับมือการโจำมตี
Dixie State College
of Utah’s Southwest
Regional Computer
Crime Institute
(SWRCCI)
สืบเนื่องจากการลงนามบันทึกข้อตกลง
ความร่วมมือด้านดิจิทัลฟอเรนสิกส์ เมื่อต้น
ปี 2556 ไทยเซิร์ต ได้จัดกิจกรรมเพื่อรับการ
ถ่ายทอด เทคนิคดิจิทัลฟอเรนสิกส์ขั้นสูง
จากสถาบัน Computer Crime Insitute
ของ Dixie State University ในรัฐยูทาห์
สหรัฐอเมริกา โดยส่งบุคลากรจำนวน 3 คน
เข้ารับการอบรมหลักสูตรการตรวจพิสูจน์พยาน
หลักฐานในโทรศัพท์เคลื่อนที่ (Mobile Phone
Forensics) และศึกษาดูงานการสอนหลัก
สูตรดิจิทัลฟอเรนสิกส์ในมหาวิทยาลัย Dixie
State University และเยี่ยมชมห้องปฏิบัติ
การของสถาบัน Computer Crime Institute
ด้วยความสัมพันธ์อันดีกับ Computer Crime
Institute ทำให้ได้มีโอกาสได้เข้าเยี่ยมชมห้อง
ปฏิบัติการดิจำิทัลฟอเรนสิกส์ระดับชั้นนเป็นกรณี
พิเศษ ได้แก่ Intermountain West Regional
Computer Forensics Laboratory ซึ่งเป็น
หนึ่งในห้องปฏิบัติการดิจำิทัลฟอเรนสิกส์กลางของ
รัฐบาลสหรัฐอเมริกา และห้องปฏิบัติการดิจิทัล
ฟอเรนสิกส์ของบริษัท American Express
ทำให้ได้เก็บเกี่ยวความรู้ที่เป็นประโยชน์ต่อ
การพัฒนาประเทศไทยต่อไป

92
EC-Council
ด้วยหนึ่งในภารกิจหลักของไทยเซิร์ต ที่เป็น
ผู้ส่งเสริมและพัฒนาบุคลากรภายในประเทศ ให้
มีความรู้และความเชี่ยวชาญด้านการรักษาความ
มั่นคงปลอดภัย ไทยเซิร์ตจึงได้ลงนามในบันทึก
ข้อตกลงความร่วมมือร่วมกับ EC-Council
หนึ่งในสถาบันอบรมด้านความมั่นคงปลอดภัย
สารสนเทศที่มีชื่อเสียงในระดับสากล เพื่อ
จำัดฝึกอบรม และสอบรับรองประกาศนียบัตร
ด้านความมั่นคงปลอดภัยให้กับเจำ้าหน้าที่
ของหน่วยงานภาครัฐโดยไม่คิดค่าใช้จำ่าย
นอกจากนี้ สพธอ. หน่วยงานต้นสังกัดของ
ไทยเซิร์ต ยังได้รับเลือกให้เป็น Authorized
EC-Council Training Center หรือศูนย์จัด
ฝึกอบรมหลักสูตรของ EC-Council ที่ได้การ
รับรองในประเทศไทยอีกด้วย
LaoCERT
LaoCERT ในฐานะที่เป็นหน่วยงานใน
สาธารณรัฐประชาธิป ไตยประชาชนลาว
ที่มีภารกิจหลักเดียวกัน ไทยเซิร์ต ได้ตระหนัก
ถึงความสำคัญที่จะสร้าง ความร่วมมือกับ
LaoCERT ในการพัฒนาศักยภาพของบุคลากร
ให้มีความรู้ และความเชี่ยวชาญในการประสาน
งานและรับมือเหตุภัยคุกคามด้านสารสนเทศ เพื่อ
เสริมสร้างความแข็งแกร่งใน การดูแลรักษาความ
มั่นคงปลอดภัย ของประเทศในภูมิภาคอาเซียน
จึงได้เกิดการลงนามในบันทึก ข้อตกลงความ
ร่วมมือระหว่าง ไทยเซิร์ต และ LaoCERT
ขึ้น โดยในปีที่ผ่านมา วิศวกรของไทยเซิร์ต ได้
เดินทางไปบรรยายใน การอบรมให้กับเจ้าหน้าที่
ของ LaoCERT ร่วมกับผู้แทนจาก JPCERT/
CC ประเทศญี่ปุ่น
สำนักงานตำรวจแห่งชาติ
เนื่องจากสถานการณ์เหตุภัยคุกคามด้าน
สารสนเทศที่เกิดขึ้น สามารถส่งผลกระทบ
ต่อความสงบสุขในสังคมและความมั่นคงของ
ประเทศ ไทยเซิร์ตเห็นถึงความสำคัญของ
การพัฒนาศักยภาพบุคลากร เทคนิคด้าน
การรักษาความมั่นคงปลอดภัย รวมถึงการ
พัฒนามาตรฐาน ด้านการตรวจพิสูจน์พยาน
หลักฐานดิจิทัล ซึ่งเป็นหนึ่งในส่วนงานหลัก
ของไทยเซิร์ต จึงได้ลงนามบันทึกข้อตกลง
ความร่วมมือกับสำนักงานตำรวจแห่งชาติ เพื่อ
ส่งเสริม และผลักดันให้หน่วยงานและ
บุคลากรที่เกี่ยวข้อง มีความสามารถในการ
รับมือ ป้องกัน และแก้ไขเหตุภัยคุกคามที่ส่ง
ผลกระทบต่อความสงบสุขของสังคมและประเทศ
จากการบันทึกข้อตกลงความร่วมมือที่เกิดขึ้น
จะทำให้เกิดการถ่ายทอดความรู้ แลกเปลี่ยน
ข้อมูลทางวิชาการระหว่างหน่วยงาน รวมถึง
การจัดฝึกอบรม และสัมมนาด้านความมั่นคง

93
ปลอดภัย โดยเฉพาะการตรวจพิสูจน์พยาน
หลักฐานดิจิทัล ซึ่งทั้งสองฝ่ายจะมีการประชุม
หารือร่วมกันเพื่อติดตามความคืบหน้า รวมถึง
การจัดทำและปรับปรุงการดำเนินงานภายใต้
ข้อตกลงความร่วมมือดังกล่าว
SANS Institute
ไทยเซิร์ต ได้ลงนามในบันทึกข้อตกลงความ
ร่วมมือกับ SANS Institute ซึ่งเป็นสถาบัน
ฝึกอบรม และวิจัยด้านความมั่นคงปลอดภัย
สารสนเทศระดับนานาชาติ เพื่อส่งเสริมการ
พัฒนาบุคลากร ด้านความมั่นคงปลอดภัย
ให้ทัดเทียมกับประเทศอื่น ๆ ในภูมิภาค
เดียวกัน ซึ่งจุดเด่นของหลักสูตร SANS นั้น
เป็นหลักสูตรที่ได้รับการยอมรับในระดับสากล
เนื่องจาก เป็นหลักสูตรที่มุ่งเน้น การให้ความรู้
ในเชิงเทคนิค และพัฒนาทักษะของผู้เข้ารับ
การอบรม ให้มีความรู้และความสามารถใน
การลงมือปฏิบัติทำงานจริง ทั้งนี้ ผลจากการ
ลงนามบันทึก ข้อตกลงความร่วมมือดังกล่าว
ส่งผลให้เกิดการจำัดอบรมในหลักสูตร Hacker
Techniques, Exploits & Incident Handling
และสอบประกาศนียบัตร GIAC Certified Incident
Handler หรือ GCIH ขึ้นในประเทศไทยในปี 2557
โดยมีผู้ที่สนใจ ทั้งจากหน่วยงานภาครัฐและ
เอกชนเข้าร่วมการอบรมดังกล่าว

94
บทที่ 5.
รายงาน CERTs ของประเทศสมาชิกอาเซียน+3

95
จากรายงานประจําปี 2012 ของ APCERT ซึ่งรายงานสถานะปัจจุบันและสถิติภัยคุกคามที่ได้รับจากหน่วยงาน CERT ในประเทศต่าง ๆ พบว่า APCERT ได้ระบุจํานวนสมาชิกของกลุ่ม
ประเทศของเครือข่ายความร่วมมือในภูมิภาคเอเชียแปซิฟิกทั้งสิ้น 30 หน่วยงานจาก 20 เขตเศรษฐกิจ โดยในจํานวนนี้เป็นหน่วยงาน CERT ที่รับมือและแก้ไขภัยคุกคามจากประเทศใน
อาเซียน+3 ทั้งสิ้น 11 หน่วยงานจาก 11 เขตเศรษฐกิจ ยกเว้น LaoCERT จากประเทศลาว และ CamCERT จากประเทศกัมพูชา ที่ยังไม่ได้เป็นสมาชิกของ APCERT
ตารางที่ 6 ข้อมูลของหน่วยงาน CERT ระดับประเทศในอาเซียน+3
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
Brunei Computer
Emergency Response
Team (BruCERT)
บรูไน หมายเลขโทรศัพท์: (+67)32-458-001
อีเมล: cert@brucert.org.bn
PGP Key
หมายเลขของกุญแจ (Key ID): 0x2C5D7296
ประเภทของกุญแจ (Key Type): DSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 1024
Fingerprint: 9D6C 609D 70B5 7FE0 BA8E B0CB 8856 C2A7 EA1E B592

96
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
National Computer
network Emergency
Response technical Team
/ Coordination Center of
China People’s Republic
of China (CNCERT/CC)
จีน หมายเลขโทรศัพท์: (+86)108-299-1000
อีเมล: cncert@cert.org.cn
PGP Key
หมายเลขของกุญแจ (Key ID): 0x0C96458D
ประเภทของกุญแจ (Key Type): DSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 1024
Fingerprint: 5DE6 1B6F 23C3 EEDD AD8D 5B94 5D19 2284 0C96 458D
Indonesia Security Incident
Response Team on Internet
Infrastructure Coordination
Center (ID-SIRTII/CC)
อินโดนีเซีย หมายเลขโทรศัพท์: (+62)21-3192-5551
อีเมล: incident@idsirtii.or.id

97
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
Japan Computer
Emergency Response
Team / Coordination
Center (JPCERT / CC)
ญี่ปุ่น หมายเลขโทรศัพท์: (+81)33-518-2178
อีเมล: info@jpcert.or.jp
PGP Key
หมายเลขของกุญแจ (Key ID): 0x69ECE048
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 2048
Fingerprint: FC89 53BB DC65 BD97 4BDA D1BD 317D 97A4 69EC E048
Korea Internet Security
Center (KrCERT/CC)
เกาหลีใต้ หมายเลขโทรศัพท์: (+82)24-055-424
อีเมล: first-team@krcert.or.kr
PGP Key
หมายเลขของกุญแจ (Key ID): 0x854702E3
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 2048
Fingerprint: FEC3 8E77 1430 5DA5 A39E 2ABE 215C A784 8547 02E

98
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
Lao Computer Emergency
Response Team (LaoCERT)
ลาว หมายเลขโทรศัพท์: (+85)62-125-4150
อีเมล: report@laocert.gov.la
PGP Key
หมายเลขของกุญแจ (Key ID): 0xEA1EB592
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): 11 มิ.ย. 2560
ขนาดความยาว (Key size): 2048
Fingerprint: 9D6C 609D 70B5 7FE0 BA8E B0CB 8856 C2A7 EA1E B592
Malaysian Computer
Emergency Response
Team (MyCERT)
มาเลเซีย หมายเลขโทรศัพท์: (+60)19-266-5850
อีเมล: mycert@mycert.org.my
PGP Key
หมายเลขของกุญแจ (Key ID): 0x82B6ED71
ประเภทของกุญแจ (Key Type): DSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 1024
Fingerprint: 57CD C689 1B0E 0835 3BBD AF97 D010 0570 82B6 ED71

99
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
National Cambodia
Computer Emergency
Response Team (CamCERT)
Philippine Computer
Emergency Response
Team (PHCERT)
Singapore Computer
Emergency Response
Team (SingCERT)
กัมพูชา หมายเลขโทรศัพท์: (+85)59-233-5536
อีเมล: incident@camcert.gov.kh
ฟิลิปปินส์ หมายเลขโทรศัพท์: -
อีเมล: assistance@phcert.org
สิงคโปร์ หมายเลขโทรศัพท์: (+65)62-110-911
อีเมล: cert@singcert.org.sg
PGP Key
หมายเลขของกุญแจ (Key ID): 0x8BC26BE9
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 1024
Fingerprint: AC79 09BD 3E7A 9F73 D664 FCC3 1409 24A0

100
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
Thailand Computer
Emergency Response
Team (ThaiCERT)
Vietnam Computer
Emergency Response
Team (VNCERT)
Myanmar Computer
Emergency Response
Team (mmCERT)
ไทย หมายเลขโทรศัพท์: (+66) 2-123-1212
อีเมล: report@thaicert.or.th
PGP Key
หมายเลขของกุญแจ (Key ID): 0xF2CB3EE1
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): 2015-06-25
ขนาดความยาว (Key size): 2048
Fingerprint: 29B3 2C79 FB4A D4D7 E71A 71ED 5FFE F781 F2CB 3EE1
เวียดนาม หมายเลขโทรศัพท์: (+84) 93-442-4009
อีเมล: ir@vncert.vn
PGP Key
หมายเลขของกุญแจ (Key ID): 0x1F2AD964
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 2048
Fingerprint: 8A8E CCC4 7E0E BDAD 8A88 63B2 C9BC 60A5 1F2A D964
พม่า หมายเลขโทรศัพท์: (+95)650-891, (+92) 656-685
อีเมล: infoteam@mmcert.org.mm
PGP Key
หมายเลขของกุญแจ (Key ID): 0x47F84281
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires):
ขนาดความยาว (Key size): 2048
Fingerprint: 34CD 3F92 6A41 01A7 6AFA A43F 08E5 371A 47F8 4281

101
100k
10k
1k
100
BruCERT
ID-SIRTII
MyCERT
ThaiCERT
VNCERT
CNCERT/CC
JPCERT/CC
KrCERT/CC
เมื่อวิเคราะห์สถานการณ์ด้านภัยคุกคามในแถบภูมิภาคอาเซียน+3 จากสถิติ
จำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ได้รับแจ้ง จะเห็นได้ว่าใน
ปี 2555 หน่วยงาน CERT ของประเทศที่มีปริมาณการใช้ ICT สูงอย่างประเทศเกาหลีใต้
(KrCERT/CC) ประเทศจีน (CNCERT/CC) ประเทศญี่ปุ่น (JPCERT/CC) และประเทศ
มาเลเซีย (MyCERT) ยังคงรับแจ้งในปริมาณที่สูงมากกว่า 10,000 รายงาน โดยมีจุดที่
น่าสังเกตคือ KrCERT/CC ได้รับรายงานมากกว่าประเทศอื่น ๆ อย่างเห็นได้ชัด โดยได้
รับแจ้งกว่า 60,000 รายงาน มากกว่าจำนวนรายงานของ CNCERT/CC ซึ่งอยู่ในอันดับ
ที่ 2 ถึง 3.5 เท่า ในขณะที่หน่วยงาน CERT ของประเทศเวียดนาม (VNCERT) ประเทศ
บรูไน (BruCERT) ประเทศอินโดนีเซีย (ID-SIRTII) และประเทศไทย (ThaiCERT) ได้รับ
แจ้งน้อยกว่า 3,000 รายการ
10
2550 2551 2552 2553 2554 2555
กราฟที่ 19 จำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ของประเทศในอาเซียน+3
ได้รับแจ้งระหว่างปี 2550-2555
เมื่อเปรียบเทียบกับจำนวนภัยคุกคามเมื่อปี 2554 จะพบว่าประเทศส่วนใหญ่ได้
รับรายงานภัยคุกคามเพิ่มขึ้น โดยเฉพาะ VNCERT, JPCERT/CC และ KrCERT/CC ที่
ได้รับแจ้งเพิ่มขึ้น 3.5 เท่า, 2.2 เท่าและ 1.8 เท่าตามลำดับ ในขณะที่ MyCERT และ
BruCERT ได้รับรายงานลดลง 34.4% และ 34.5% ตามลำดับ ส่วนกรณี ID-SIRTII ได้
รับแจ้งลดลงอย่างมากถึง 97.6% สาเหตุอาจมาจากการเปลี่ยนแปลงช่องทางการรับ
แจ้ง โดยเริ่มรับแจ้งภัยคุกคามผ่านช่องทางสาธารณะในปี 2555 ในขณะที่ปีก่อนหน้า
รับแจ้งผ่านช่องทางอื่น

102
100
80
60
สัดสวน (รอยละ)
40
20
0
BruCERT ID-SIRTII MyCERT ThaiCERT VNCERT CNCERT/CC JPCERT/CC KrCERT/CC
Abusive Content
Fraud
Information Gathering/Intrusion Attempts
Intrusions
Malicious Code
Other
กราฟที่ 20 สัดส่วนของภัยคุกคามแต่ละประเภทที่ถูกแจ้งไปยังหน่วยงาน CERT ของแต่ละประเทศในกลุ่มอาเซียน+3 ในปี 2554 และ 2555
เมื่อแบ่งประเภทของภัยคุกคามที่ถูกแจ้งเป็น 6 ประเภทหลักตามกราฟที่ 20 โดยชุดกราฟ
แท่งซ้ายของแต่ละประเทศเป็นข้อมูลของปี 2554 และชุดกราฟแท่งขวาของแต่ละประเทศ
เป็นข้อมูลของปี 2555 จะเห็นว่าประเภทภัยคุกคามที่ได้รับแจ้งสูงสุดในแต่ประเทศยังคงมี
ลักษณะคล้ายกับปี 2554 โดย BruCERT และ KrCERT/CC รับรายงานภัยคุกคามประเภท
Malicious Code มากที่สุด ในขณะที่ ไทยเซิร์ต, VNCERT, CNCERT/CC ยังคงได้รับรายงาน
ประเภท Fraud มากที่สุด อย่างไรก็ตาม มีรายงานภัยคุกคามบางประเภทได้รับแจ้งลดลงมาก
ในปี 2555 เมื่อเทียบกับปี 2554 เช่น กรณีที่เกือบทุกหน่วยงาน CERT ยกเว้น BruCERT ได้
รับแจ้งภัยคุกคามประเภท Information Gathering ลดลง โดยเฉพาะ CNCERT/CC ที่ได้รับ
แจ้งเพียงแค่ 0.1% และ ID-SIRTII, MyCERT, CNCERT/CC, KrCERT/CC ที่ไม่ได้รับแจ้งใน
ปี 2555 เลย หรือกรณีไทยเซิร์ตที่แทบจะไม่ได้รับแจ้งภัยคุกคามประเภท Abusive Content
(0.4%) เมื่อเทียบกับปี 2554 (11.9%) ในขณะที่ภัยคุกคามบางประเภทได้รับแจ้งเพิ่มขึ้นอย่าง
ชัดเจนในหลายประเทศ เช่น กรณีภัยคุกคามประเภท Intrusions ที่ ID–SIRTII, KrCERT/CC,
MyCERT ได้รับแจ้งเพิ่มขึ้นเป็น 30%, 32.1% และ 43.3% ตามลำดับ หรือกรณีที่ภัยคุกคาม
ประเภท Malicious Code ที่ VNCERT ได้รับแจ้งเพิ่มเป็น 32.8% โดยพบว่าเกิดจากการ
ระบาดของมัลแวร์ที่ฝังในไฟล์เอกสารแนบ

103

104
บทที่ 6.
ความท้าทายในบทบาท NATIONAL CERT

105
ด้วยสถานการณ์ความพร้อมของ
ประเทศไทยเกี่ยวกับการรับมือกับภาวะภัย
คุกคามด้านสารสนเทศที่ยังมีข้อจำกัดในหลาย
ด้าน ในขณะที่ความซับซ้อนของภัยคุกคาม
ที่เกิดขึ้นมีความแปลกใหม่ตลอดเวลา เช่น
เหตุการณ์การค้นพบช่องโหว่ในโปรแกรม
Java บนระบบปฏิบัติการ Windows ใน
ช่วงต้นปี 2556 ที่ทำให้แฮกเกอร์สามารถ
ลักลอบติดตั้งมัลแวร์หรือสั่งให้ประมวลผลคำ
สั่งอันตรายจากระยะไกลได้ (Remote Code
Execution) บนเครื่องผู้ใช้งานที่เข้าชมเว็บไซต์
ที่ถูกฝังโค้ดอันตรายไว้ ซึ่งสามารถสร้างความ
เสียหายให้กับผู้ให้บริการและผู้ใช้บริการเป็น
จำนวนมากหากมีการนำช่องโหว่นี้ไปใช้โจมตี
ประกอบกับจากรายงานสถิติจากหลายแหล่ง
ที่ได้ระบุว่าประเทศไทยมีความเสี่ยงสูงเป็น
อันดับต้น ๆ ด้านความมั่นคงปลอดภัย
เช่น สถาบันนานาชาติในการจัดอันดับ
ความสามารถในการแข่งขันของประเทศ
สมาชิก หรือ International Institute for
Management Development (IMD) ได้
ประเมินปัจจัยด้านความมั่นคงปลอดภัย
ไซเบอร์ขององค์กรในแต่ละประเทศ
สมาชิกซึ่งส่งผลต่อการแข่งขันของประเทศ
ในรายงาน “World Competitiveness
Rankings” ประจำปี 2013 โดยได้จัด
อันดับด้านความมั่นคงปลอดภัยไซเบอร์
ของประเทศไทยอยู่ในลำดับที่ 48 จาก
ประเทศสมาชิก 60 ประเทศ และอยู่ใน
ลำดับที่ 4 ของประเทศสมาชิกอาเซียน
เป็นรองประเทศมาเลเซีย ประเทศสิงคโปร์
และประเทศอินโดนีเซีย รูปที่ 11 อันดับความสามารถในการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ในรายงาน
World Competitiveness Rankings 2013 ของ IMD

106
นอกจากนี้คณะทำงานต่อต้านภัยคุกคาม
ประเภท Phishing (Anti-Phishing Working
Group - APWG) ได้รายงานว่า เว็บไซต์ที่อยู่
ภายใต้โดเมนของประเทศไทยมีสัดส่วนของ
จำนวนเว็บไซต์ที่ถูกเจาะระบบเพื่อใช้เป็น
ฐานสำหรับหลอกลวงในลักษณะ Phishing
เมื่อเทียบกับจำนวนโดเมนที่จดทะเบียนไว้
ทั้งหมดของประเทศสูงที่สุดเป็นอันดับต้น ๆ
ซึ่งตัวอย่างทั้งสองนี้สะท้อนว่าประเทศไทย
กำลังอยู่ในภาวะที่น่าเป็นห่วงและมีความ
เสี่ยงสูง ดังนั้นการป้องกันรักษาความมั่นคง
ปลอดภัยและการต่อต้านภัยคุกคามอย่างทัน
ท่วงที จึงเป็นมาตรการที่สำคัญและจำเป็น
สำหรับระงับเหตุก่อนที่จะเกิดความเสียหาย
ขึ้นในวงกว้าง การทำงานในลักษณะเรียกว่า
ทีมประสานการรักษาความมั่นคงปลอดภัย
ระบบคอมพิวเตอร์ (Computer Emergency
Response Team - CERT) ซึ่งในประเทศไทย
นั้นไทยเซิร์ตได้รับการยอมรับให้เป็นตัวแทน
ของประเทศทำหน้าที่เป็นศูนย์กลางประสาน
งานกับหน่วยงานอื่น ๆ ทั้งในประเทศและ
เครือข่าย CERT ที่มีอยู่ทั่วโลก ดังนั้น CERT
จึงนับได้ว่าเป็นกลไกที่สำคัญในการต่อสู้กับ
ภัยคุกคามไซเบอร์ที่สามารถส่งผลกระทบต่อ
ทุกประเทศทั่วโลกที่เชื่อมโยงและเข้าถึงได้ใน
โลกอินเทอร์เน็ต ซึ่ง CERT ของแต่ละประเทศ
ต้องพัฒนาแนวปฏิบัติในการระงับเหตุภัย
คุกคามที่เกิดขึ้นให้เร็วที่สุดและลดความเสีย
หายให้เกิดขึ้นน้อยที่สุด โดยอาศัยมาตรการ
ระบบ เครื่องมือ รวมถึงบุคลากรผู้เชี่ยวชาญ
ที่มีความพร้อมที่จะให้บริการได้ทันทีที่ได้รับ
แจ้งเหตุการณ์ภัยคุกคาม
ที่ผ่านมาไทยเซิร์ตมีบทบาทในการพัฒนา
และบริหารจัดการระบบแจ้งเตือนเมื่อได้รับ
แจ้งภัยคุกคามที่เร่งด่วนและมีความสำคัญ
ได้แก่ การรับมือและแก้ไขการหลอกลวงทาง
เว็บไซต์ธนาคาร (Phishing) และการวิเคราะห์
โปรแกรมไม่พึงประสงค์ (Malware) รวมถึง
การพัฒนาทรัพยากรบุคคลที่มีความเชี่ยวชาญ
เฉพาะด้าน ที่ได้รับการอบรมและสอบผ่าน
ใบรับรองสากลและผลักดันการสร้างความ
ร่วมมือกับหน่วยงานนานาชาติและหน่วย
งานระดับประเทศ รวมทั ้งจัดฝึกอบรมและ
สัมมนาให้แก่ผู้บริหารและ บุคลากรผู้ปฏิบัติ
งานด้านความมั่นคงปลอดภัยสารสนเทศทั้ง
ภาครัฐและเอกชนของประเทศไทย ให้มีความ
พร้อมและตระหนักถึงภัยคุกคามไซเบอร์และ
มาตรการป้องกันที่จำเป็นต้องเรียนรู้ โดย

107
เฉพาะหน่วยงานรัฐที่เป็นหน่วยงานโครงสร้าง
พื้นฐานสำคัญของประเทศและหน่วยงานด้าน
การเงินที่จำเป็นต้องเปิดให้บริการตลอด 24
ชั่วโมงอย่างมั่นคงปลอดภัย เพื่อสร้างความ
เชื่อมั่นให้แก่ประชาชนในการทำธุรกรรม
ทางอิเล็กทรอนิกส์ และรักษาภาพลักษณ์ของ
ประเทศในสายตาต่างชาติในระยะยาวอีกด้วย
ในปี 2555 ไทยเซิร์ตได้กำหนดมาตรฐานของ
การให้บริการรับมือและจัดการเหตุภัยคุกคาม
ด้านสารสนเทศที่ได้รับแจ้งภายใน 2 วันทำการ
(Service Level Agreement - SLA) มีการ
พัฒนาระบบสารสนเทศเพื่อเพิ่มประสิทธิภาพ
การ ให้บริการรับมือและแก้ไขภัยคุกคามใน
ระดับประเทศและไทยเซิร์ตให้ความสำคัญ
ในการพัฒนาทักษะบุคลากรในเชิงเทคนิคให้
มีความเชี่ยวชาญในการวิเคราะห์ภัยคุกคาม
ในรูปแบบใหม่ที่มีความซับซ้อนและอาจส่ง
ผลกระทบกับระบบสารสนเทศสำคัญของ
ประเทศ และที่สำคัญที่สุดคือการขยายความ
ร่วมมือกับหน่วยงาน CERT ต่างประเทศเพิ่ม
มากขึ้น โดยเฉพาะกลุ่มประเทศปลายทางที่
ตรวจพบว่ามักจะใช้ประเทศไทยเป็นฐานใน
การกระทำความผิด
ในภารกิจเชิงนโยบาย ไทยเซิร์ตเป็นกำลัง
สำคัญที่ช่วยให้การสนับสนุนทางเทคนิคแก่
ผู้อำนวยการ สพธอ. ในการปฏิบัติหน้าที่
เลขานุการคณะกรรมการความมั่นคงปลอดภัย
ไซเบอร์แห่งชาติ (National Cybersecurity
Committee – NCSC) ที่จัดตั้งขึ้นในปี พ.ศ.
2555 ซึ่งนายกรัฐมนตรีทำหน้าที่ประธาน มี
ผู้บริหารสูงสุดของหน่วยงานสำคัญที่มีภารกิจ
ในการปกป้องและรักษาความมั่นคงปลอดภัย
ไซเบอร์ของประเทศร่วมเป็นกรรมการ ซึ่งผล
งานสำคัญ ได้แก่ การจัดทำร่างกรอบนโยบาย
เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์
แห่งชาติ ซึ่งขณะนี้อยู่ระหว่างการรับฟังความ
เห็นหน่วยงานที่เกี่ยวข้องเพิ่มเติมก่อนที่จะนำ
เสนอคณะรัฐมนตรีพิจารณา และการจัดทำขั้น
ตอนการแจ้ง/รับมือเหตุภัยคุกคามที่กระทบ
ต่อความมั่นคงปลอดภัยทางด้านสารสนเทศ
เมื่อเกิดเหตุภัยคุกคาม ซึ ่งทั้งสองส่วนนี้คณะ
กรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
ได้ให้ความเห็นชอบในหลักการแล้ว
เว็บไซต์ของหน่วยงาน
ภาคเอกชน (.com) ได้รับ
ผลกระทบเป็นอันดับหนึ่ง
ในการโจมตีทุกประเภท ใน
ขณะที่เว็บไซต์ของหน่วยงาน
ภาครัฐ (go.th) ได้รับผล
กระทบจาก Malware
URL กับ Web
Defacement สูงเป็น
อันดับที่ 2 และอยู่ในอันดับ
ที่ 5 ของการโจมตีประเภท
Phishing

108
สำหรับแผนการดำเนินงานต่อไปใน
อนาคตนั้น ไทยเซิร์ตจะยกระดับการทำงาน
จากหน่วยงานที่ให้การสนับสนุนทางเทคนิค
แก่หน่วยงานอื่นอยู่เบื้องหลัง ไปสู่การทำงาน
ระดับประเทศเพื่อเฝ้าระวังภาพรวมการรักษา
ความมั่นคงปลอดภัยของประเทศในบทบาท
ของ National CERT ซึ่งจะเป็นการพัฒนา
ในเชิงรุกเพื่อรับผิดชอบภารกิจในระดับ
ประเทศอย่างเต็มตัว และสนับสนุนการดำเนิน
การตามนโยบายของรัฐบาลในการรักษา
ความมั่นคงปลอดภัยไซเบอร์ของประเทศ
ทั้งนี้มีเป้าหมายหลักที่สำคัญจะ
เตรียมดำเนินการต่อไป ดังนี้
1 การผลักดันไทยเซิร์ตให้ท
หน้าที่เป็น Cybersecurity
Center of Command ใน
บทบาทของ National CERT
ที่จะต้องมีการวางโครงสร้างการบริหารจัดการ
และบูรณาการนโยบายการรักษาความมั่นคง
ปลอดภัยไซเบอร์ของประเทศ การจัดทำ
นโยบายระดับชาติเพื่อรับมือ ป้องกัน และลด
ความเสี่ยงอันเกิดจากสถานการณ์ภัยคุกคาม
ไซเบอร์ที่อาจจะเกิดขึ้นได้ทุกเมื่อ รวมถึงการ
กำหนดแนวทางและมาตรการเกี่ยวกับการ
รักษาความมั่นคงปลอดภัยไซเบอร์ที่สอดรับ
กับกรอบนโยบายที่คณะกรรมการความมั่นคง
ปลอดภัยไซเบอร์แห่งชาติกำหนด และผลัก
ดันการดำเนินงานตามกรอบนโยบายดังกล่าว
2 การพัฒนาขั้นตอน
การแจ้ง/รับมือเหตุ
ภัยคุกคามที่กระทบต่อ
ความมั่นคงปลอดภัยทาง
ด้านสารสนเทศแห่งชาติ
(National Incident Response Flow –
National IR Flow) ระหว่างหน่วยงานที่
เกี่ยวข้อง ซึ่งประกอบด้วย 4 ขั้นตอนหลัก ได้แก่
1) กระบวนการรับมือเมื่อตรวจพบเหตุการณ์
2) การวิเคราะห์และประเมินผลเบื ้องต้น
3) การรายงานเหตุภัยคุกคามตามลำดับ
ชั้นจนถึงระดับนโยบาย
4) การยืนยันผลวิเคราะห์และการติดตามผล
ทั้งนี้เพื่อให้มีการส่งต่อข้อมูลสำคัญไป
ยังทุกหน่วยงานที่เกี่ยวข้องและเชื่อมโยงการ
ทำงานระหว่างกันทั้งระบบ และรวมถึงการผลัก
ดันให้ National IR Flow นี้ได้รับการยอมรับ
ทั่วกันและเพื่อนำไปสู่การปฏิบัติอย่างจริงจัง
3 การพัฒนาศักยภาพด้าน
การรักษาความมั่นคง
ปลอดภัยไซเบอร์ของหน่วยงาน
สคัญ เช่น กลุ่มธนาคาร กลุ่มโครงสร้าง
พื้นฐานสำคัญ และหน่วยงานด้านความมั่นคง
ด้วยการผลักดันในการจัดตั้ง Sector-based
CERT ให้มีความเข้มแข็ง เพื่อประสานความ
ร่วมมือระหว่างไทยเซิร์ตและหน่วยงานสำคัญใน
การรับมือและจัดการภัยคุกคาม รวมถึงพัฒนา
ให้เป็นเครือข่ายสำหรับการแลกเปลี่ยนข้อมูล
ภัยคุกคามสำคัญที่เกิดขึ้นและส่งผลกระ
ทบกับหน่วยงานในประเทศ

4
การจัดทแผนความต่อ
เนื่องทางธุรกิจแห่งชาติ
หรือ National Business Continuity Plan
(NBCP) เพื่อเป็นกลไกในการรักษาสภาพพร้อม
ใช้ของธุรกิจ (Availability) ของประเทศ ซึ่งเป็น
องค์ประกอบสำคัญของความมั่นคงปลอดภัย
สารสนเทศ และผลักดันให้เกิดการพัฒนาและ
ใช้งาน BCP ในทุกภาคส่วน ไม่ว่าจะเป็น
หน่วยงานภาครัฐหรือ
ภาคเอกชนอย่าง
เป็นรูปธรรม
109
5 การสร้างความพร้อม
ในการรับมือภัยคุกคาม
ไซเบอร์ ทั้งผู้เชี่ยวชาญและเครื่องมือให้
ทัดเทียมกับประเทศในภูมิภาคอาเซียน และมี
ระบบฐานข้อมูลและวิธีการแลกเปลี่ยนข้อมูล
ภัยคุกคามไซเบอร์ที่เกิดขึ้นในประเทศไทยกับ
ผู้ให้บริการอินเทอร์เน็ตในประเทศทุกราย ที่
สามารถนำไปใช้ประโยชน์ในการป้องกันหรือ
ระงับเหตุ ผลกระทบ และจำกัดความเสียหายที่
อาจจะเกิดขึ้นได้ทันท่วงทีก่อนที่จะขยายวงกว้าง
6 การเพิ่มขีดความสามารถ
และความหลากหลายของ
ระบบการรับมือภัยคุกคาม
ตลอดจนสภาพพร้อมใช้ของระบบที่สำคัญ
ของประเทศ ที่สอดรับกับความต้องการของ
หน่วยงาน โดยเฉพาะหน่วยงานที่จัดอยู่ใน
กลุ่มโครงสร้างพื้นฐานสำคัญของประเทศ
(Critical Infrastructure) ซึ่งมีผลเกี่ยวเนื่อง
สำคัญต่อความมั่นคงหรือความสงบเรียบร้อย
ของประเทศ หรือต่อสาธารณชน โดยจะเน้น
ให้ความสำคัญกับระบบการตรวจสอบและเฝ้า
ระวังเว็บไซต์ หน่วยงานสำคัญของประเทศ การ
พัฒนาระบบป้องกัน Distributed Denial of
Service หรือ DDoS รวมถึงการพัฒนาระบบ
วิเคราะห์วิจัยและทดสอบภัยคุกคามไซเบอร์
ในห้องปฏิบัติการ
GOAL

110
ภาคผนวก
ภาคผนวก ก การจัดประเภทของเหตุภัยคุกคามด้านสารสนเทศ
ตารางที่ 7 ประเภทของภัยคุกคามที่ได้รับแจำ้งผ่านระบบอัตโนมัติ
Botnet ภัยคุกคามด้านสารสนเทศที่เกิดกับกลุ่มของเครื่องคอมพิวเตอร์ที่มีโปรแกรมไม่พึงประสงค์ติดตั้งอยู่ ซึ่งโปรแกรมไม่พึงประสงค์นี้จะทำการรับคำสั่งจาก
ผู้ควบคุมผ่านเครือข่ายอินเทอร์เน็ต โดยอาจเป็นคำสั่งที่ให้ทำการโจมตีระบบเครือข่าย ส่งสแปม หรือโจรกรรมข้อมูลในเครื่องคอมพิวเตอร์นั้น เป็นต้น
Open DNS Resolver ภัยคุกคามด้านสารสนเทศที่เกิดจากการตั้งค่าของเครื่องให้บริการ DNS อย่างไม่เหมาะสม อาจถูกใช้เป็นส่วนหนึ่งในการโจมตีระบบต่าง ๆ ในลักษณะ
DDoS ได้
Spam ภัยคุกคามด้านสารสนเทศที่เกิดจากผู้ไม่หวังดีทำการส่งจดหมายอิเล็กทรอนิกส์ออกไปยังผู้รับจำนวนมาก โดยผู้ที่ได้รับจดหมายอิเล็กทรอนิกส์เหล่านั้น
ไม่ได้มีความประสงค์ที่จะได้รับข้อมูลนั้นมาก่อน ส่วนมากเป็นการโฆษณาสินค้าและบริการ ทำให้เกิดความเดือดร้อนรำคาญแก่ผู้รับ
Scanning ภัยคุกคามด้านสารสนเทศที่เกิดจากการที่ผู้ไม่หวังดี ทำการตรวจสอบข้อมูลเบื้องต้นของระบบปฏิบัติการหรือบริการบนเครื่องแม่ข่าย โดยใช้วิธีส่ง
ข้อมูลไปสู่ระบบที่เป็นเป้าหมายผ่านระบบเครือข่าย แล้วรวบรวมผลลัพธ์จากการตอบสนองจากระบบที่เป็นเป้าหมายนั้น ข้อมูลที่ได้จากการสแกนมัก
จะใช้เป็นข้อมูลในการเจาะหรือบุกรุกเข้าระบบต่อไป

111
Open Proxy Server
ภัยคุกคามด้านสารสนเทศที่เกิดจากการตั้งค่าบริการ Web Proxy ไม่เหมาะสม โดยยินยอมให้ผู้ใช้งานทั่วไปเรียกใช้งานเพื่อเข้าถึงบริการเว็บในเครือข่าย
อินเทอร์เน็ตได้โดยไม่มีระบบยืนยันตัวตน (Authentication) ซึ่งอาจทำให้ผู้ไม่หวังดีใช้เป็นช่องทางในการกระทำความผิดหรือใช้โจมตีระบบอื่น ๆ ได้
Web Defacement ภัยคุกคามด้านสารสนเทศที่เกิดจากการเจาะระบบได้สำเร็จ แล้วทำการเปลี่ยนแปลงข้อมูลบนหน้าเว็บไซต์ โดยมีจุดประสงค์ของการกระทำเพื่อสร้าง
ความอับอาย ทำให้หน่วยงานเจ้าของเว็บไซต์ หรือผู้เกี่ยวข้องเสื่อมเสียชื่อเสียง
Malware URL ภัยคุกคามด้านสารสนเทศที่เกิดจากเว็บไซต์ที่ใช้เพื่อเผยแพร่ Malware ส่วนมากจะเกิดจากการที่ผู้ไม่หวังดีบุกรุกเข้าไปยังเว็บไซต์ของผู้อื่นและใช้
พื้นที่ของเว็บไซต์นั้นในการเผยแพร่ Malware และหลอกลวงให้ผู้อื่นเข้าถึงหรือดาวน์โหลด Malware นี้
Phishing ภัยคุกคามด้านสารสนเทศในลักษณะการฉ้อฉล ฉ้อโกง หรือหลอกลวงเพื่อผลประโยชน์ ส่วนใหญ่มีวัตถุประสงค์ในการขโมยข้อมูลสำคัญของผู้ใช้งาน
เช่น บัญชีผู้ใช้ รหัสผ่าน หรือข้อมูลสำคัญทางธุรกรรมอิเล็กทรอนิกส์ เป็นต้น ผู้โจมตีใช้วิธีการล่อลวงให้ผู้ใช้งานเข้าถึงบริการที่ทำปลอมขึ้นและทำให้ผู้
ใช้งานเข้าใจผิดว่ากำลังใช้งานกับระบบของผู้ให้บริการจริงอยู่
Brute Force ภัยคุกคามด้านสารสนเทศในลักษณะการโจมตีหรือเจาะระบบเป้าหมายด้วยวิธีการสุ่มข้อมูลตามอัลกอริทึมที่ผู้โจมตีคิดค้น เพื่อให้ได้ข้อมูลสำคัญหรือ
ข้อมูลลับของระบบเป้าหมาย เช่น การสุ่มบัญชีชื่อผู้ใช้งานและรหัสผ่านเพื่อเข้าสู่ระบบ
DDoS ภัยคุกคามด้านสารสนเทศในลักษณะการโจมตีสภาพความพร้อมใช้งานของระบบ โดยมีลักษณะการโจมตีมาจากหลายที่โดยแต่ละที่โจมตีเป้าหมาย
เดียวกันภายในช่วงเวลาเดียวกัน เพื่อทำให้บริการต่าง ๆ ของระบบไม่สามารถให้บริการได้ตามปกติ มีผลกระทบตั้งแต่เกิดความล่าช้าในการตอบสนอง
ของบริการจนกระทั่งระบบไม่สามารถให้บริการต่อไปได้

112
ตารางที่ 8 คอธิบายประเภทของภัยคุกคามแบบต่าง ๆ
ประเภท
เนื้อหาที่เป็นภัย
(Abusive Content)
โปรแกรมไม่พึง
ประสงค์
(Malicious Code)
ความพยายาม
รวบรวมข้อมูลของ
ระบบ (Information
Gathering)
คำอธิบาย
ภัยคุกคามด้านสารสนเทศ ที่เกิดจากการใช้/เผยแพร่ข้อมูลที่ไม่เป็นจริงหรือไม่เหมาะสม (Abusive Content) เพื่อทำลายความน่าเชื่อถือ เพื่อก่อให้เกิด
ความไม่สงบ หรือข้อมูลที่ไม่ถูกต้องตามกฎหมาย เช่น ลามก อนาจาร หมิ่นประมาท และรวมถึงการโฆษณาขายสินค้าต่าง ๆ ทางอีเมลที่ผู้รับไม่ได้มีความ
ประสงค์จะรับข้อมูลโฆษณานั้น ๆ (Spam)
ภัยคุกคามด้านสารสนเทศ ที่เกิดจากโปรแกรมหรือชุดคำสั่งที่พัฒนาขึ้นด้วยความประสงค์ร้าย (Malicious Code) เพื่อทำให้เกิดความขัดข้องหรือเสีย
หายกับระบบที่โปรแกรมหรือซอฟต์แวร์ไม่พึงประสงค์นี้ติดตั้งอยู่ โดยปกติโปรแกรมหรือซอฟต์แวร์ไม่พึงประสงค์ประเภทนี้ต้องอาศัยผู้ใช้งานเป็นผู้เปิด
ก่อน จึงจะสามารถติดตั้งตัวเองหรือทำงานได้ เช่น Virus, Worm, Trojan หรือ Spyware ต่าง ๆ
ภัยคุกคามด้านสารสนเทศ ที่เกิดจากความพยายามของผู้ไม่หวังดีในการรวบรวมข้อมูลจุดอ่อนของระบบ (Scanning) ด้วยการเรียกใช้บริการต่าง ๆ ที่
อาจจะเปิดไว้บนระบบ เช่น ข้อมูลเกี่ยวกับระบบปฏิบัติการ ระบบซอฟต์แวร์ที่ติดตั้งหรือใช้งาน ข้อมูลบัญชีชื่อผู้ใช้งาน (User Account) ที่มีอยู่บนระบบ
เป็นต้น รวมถึงการเก็บรวบรวมหรือตรวจสอบข้อมูลจราจรบนระบบเครือข่าย (Sniffing) และการล่อลวงหรือใช้เล่ห์กลต่าง ๆ เพื่อให้ผู้ใช้งานเปิดเผย
ข้อมูลที่มีความสำคัญของระบบ (Social Engineering)

113
ความพยายาม
จะบุกรุกเข้า
ระบบ (Intrusion
Attempts)
การบุกรุกหรือเจาะ
ระบบได้สำเร็จ
(Intrusions)
การโจมตีสภาพความ
พร้อมใช้งานของ
ระบบ (Availability)
ฉ้อโกงหรือหลอก
ลวงเพื่อผลประโยชน์
(Fraud)
ภัยคุกคามด้านสารสนเทศที่เกิดจากความพยายามจะบุกรุก/เจาะเข้าระบบ (Intrusions Attempts) ผ่านจุดอ่อนหรือช่องโหว่ที่เป็นที่รู้จักในสาธารณะ
(CVE- Common Vulnerabilities and Exposures) หรือผ่านจุดอ่อนหรือช่องโหว่ใหม่ที่ยังไม่เคยพบมาก่อน เพื่อให้ได้เข้าครอบครองหรือทำให้เกิด
ความขัดข้องกับบริการต่าง ๆ ของระบบ รวมถึงความพยายามจะบุกรุก/เจาะระบบผ่านช่องทางการตรวจสอบบัญชีชื่อผู้ใช้งานและรหัสผ่าน (Login)
ด้วยวิธีการสุ่ม/เดาข้อมูล หรือทดสอบรหัสผ่านทุกค่า (Brute Force)
ภัยคุกคามด้านสารสนเทศที่เกิดกับระบบที่ถูกบุกรุก/เจาะเข้าระบบได้สำเร็จ (Intrusions) และระบบถูกครอบครองโดยผู้ที่ไม่ได้รับอนุญาต
ภัยคุกคามด้านสารสนเทศที่เกิดจากการโจมตีสภาพความพร้อมใช้งานของระบบ เพื่อทำให้บริการต่าง ๆ ของระบบไม่สามารถให้บริการได้ตามปกติ มี
ผลกระทบตั้งแต่เกิดความล่าช้าในการตอบสนองของบริการจนกระทั่งระบบไม่สามารถให้บริการต่อไปได้ อาจจะเกิดจากการโจมตีที่บริการของระบบ
โดยตรง เช่น การโจมตีประเภท DoS (Denial of Service) แบบต่าง ๆ หรือการโจมตีโครงสร้างพื้นฐานที่สนับสนุนการให้บริการของระบบ เช่น อาคาร
สถานที่ ระบบไฟฟ้า ระบบปรับอากาศ
ภัยคุกคามด้านสารสนเทศที่เกิดจากการฉ้อฉล ฉ้อโกง หรือการหลอกลวงเพื่อผลประโยชน์ (Fraud) สามารถเกิดได้ในหลายลักษณะ เช่น การลักลอบ
ใช้งานระบบหรือทรัพยากรทางสารสนเทศที่ไม่ได้รับอนุญาตเพื่อแสวงหาผลประโยชน์ของตนเอง หรือการขายสินค้าหรือซอฟต์แวร์ที่ละเมิดลิขสิทธิ์

114
ภาคผนวก ข อภิธานศัพท์และคำย่อ
ตารางที่ 9 อภิธานศัพท์และคย่อ
คำศัพท์
ความหมาย
Port Scanning การตรวจสอบข้อมูลเบื้องต้นของระบบปฏิบัติการหรือบริการบนเครื่องแม่ข่าย โดยการส่งข้อมูลไปสู่ระบบที่เป็นเป้าหมายแล้วรวบรวมผลการ
ตอบสนอง ข้อมูลที่ได้จากการสแกนมักถูกใช้เป็นข้อมูลในการเจาะหรือบุกรุกเข้าระบบต่อไป
Social Engineering เทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล เช่น การโทรศัพท์โดยแอบอ้างเป็นบุคคลอื่นเพื่อหลอกให้เปิด
เผยรหัสผ่าน
Trojan มัลแวร์ที่อยู่ในรูปของโปรแกรมทั่วไป แต่มีจุดประสงค์แอบแฝงเพื่อทำอันตรายต่อระบบ เช่น ขโมยข้อมูลบัญชีผู้ใช้ เป็นต้น โปรแกรมที่เป็นโทรจัน
นั้นจะหลอกล่อให้ผู้ใช้คิดว่าตัวมันเองปลอดภัย และให้ผู้ใช้เป็นคนนำโปรแกรมเข้ามาติดตั้งอยู่ในระบบเอง
Worm มัลแวร์ที่สามารถแพร่กระจายไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายหรือข้ามเครือข่ายโดยไม่ผ่านการใช้งานของผู้ใช้

115
คำศัพท์
ความหมาย
Malware URL การเผยแพร่โปรแกรมไม่พึงประสงค์ผ่านเครื่องแม่ข่าย โดยโปรแกรมไม่พึงประสงค์จะทำงานเมื่อผู้ใช้เปิดเข้าไปใน URL ที่เป็นที่อยู่ของโปรแกรม
ไม่พึงประสงค์ มีผลทำให้เบราว์เซอร์ถูกควบคุมการทำงานให้เป็นไปตามความต้องการของผู้เขียนมัลแวร์ เช่น ขโมยข้อมูล แสดงหน้าต่างโฆษณา
หรือดาวน์โหลดโปรแกรมไม่พึงประสงค์อื่น ๆ ตามมา เป็นต้น
Domain Name ชื่อที่ตั้งขึ้นเพื่อใช้แทนการเรียกหมายเลขไอพี (IP Address) เพื่อให้เป็นที่รู้จักและจดจำได้ง่ายขึ้น
Vulnerability
Assessment
กระบวนการตรวจสอบหาช่องโหว่ของระบบสารสนเทศที่อาจเป็นจุดอ่อนให้ผู้ไม่หวังเจาะระบบเข้ามาได้ และประเมินความสำคัญและผลกระทบ
ของช่องโหว่นั้น
Penetration Testing ขั้นตอนถัดจากการตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ โดยทำการบุกรุกเจาะระบบสารสนเทศจริงโดยอาศัยวิธีการทางเทคนิค,
การหลอกลวงแบบโซเชียลเอนจิเนียริง หรือแม้กระทั่งบุกรุกทางกายภาพเข้าไปขโมยข้อมูลก็ถือเป็นการทดสอบเจาะระบบ

116
คำศัพท์
ความหมาย
Digital Forensics การเก็บหลักฐาน การค้นหา การวิเคราะห์ และการนำเสนอหลักฐานทางดิจิทัลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ เช่น ไฟล์ที่อยู่ใน
คอมพิวเตอร์ อุปกรณ์อิเล็กทรอนิกส์ โทรศัพท์มือถือ รวมถึงหลักฐานดิจิทัลที่สร้างจากระบบคอมพิวเตอร์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้
ระบุผู้กระทำผิดและใช้เป็นหลักฐานในการดำเนินคดีได้
Computer Security
Incident Response
Team (CSIRT)
One Time Password
(OTP)
หน่วยงานที่มีหน้าที่ประสานงานและจัดการภัยคุกคามที่เกิดกับระบบสารสนเทศในขอบเขตเครือข่ายที่กำหนด เช่น ซีเซิร์ตระดับองค์กรที่จัดการ
ภัยคุกคามระบบสารสนเทศภายในองค์กร หรือ ซีเซิร์ตระดับประเทศที่สามารถประสานงานไปยังซีเซิร์ตในระดับประเทศด้วยกันหรือหน่วยงาน
ที่เกี่ยวข้องเพื่อจัดการภัยคุกคามทางสารสนเทศ
รหัสผ่านที่สามารถใช้ได้เพียงครั้งเดียวในการเข้าสู่ระบบ ซึ่งมีความแตกต่างจากรหัสผ่านทั่วไป (Static Password) คือสามารถป้องกันภัยคุกคาม
เกี่ยวกับการกรอกรหัสผ่านซ้ำ (Replay Attack) กล่าวคือ หากผู้ประสงค์ร้ายทำการจดจำรหัสผ่านเดิมที่ผู้ใช้งานเคยเข้าสู่ระบบ เพื่อจะนำกลับมา
ใช้ซ้ำ จะไม่สามารถกระทำได้เนื่องจากรหัสผ่านจะมีการเปลี่ยนไปในแต่ละครั้งที่เข้าสู่ระบบ แต่อย่างไรก็ตามการใช้งานรหัสผ่าน OTP มีข้อเสียคือ
ผู้ใช้งานอาจจดจำรหัสผ่านดังกล่าวได้ยาก ดังนั้นจึงมักพบเห็นการใช้รหัสผ่านแบบ OTP ร่วมกับเทคโนโลยีอื่น ทั้งนี้ เทคโนโลยีที่ใช้ในการสร้างรหัส
ผ่านแบบ OTP ได้แก่ การคำนวณจากเวลา การคำนวณจากรหัสผ่านเดิม หรือค่าสุ่มอื่น ๆ เป็นต้น

117
คำศัพท์
Content Management
System (CMS)
ความหมาย
ระบบซอฟต์แวร์คอมพิวเตอร์ที่ใช้เพื่อจัดระเบียบเอกสารหรือเนื้อหาสาระ โดยส่วนมากนำมาช่วยในการสร้างและบริหารเว็บไซต์แบบสำเร็จรูป โดย
ในการใช้งาน CMS นั้นผู้ใช้งานแทบไม่ต้องมีความรู้ในด้านการเขียนโปรแกรม ก็สามารถสร้างเว็บไซต์ได้
Corporate เครือข่ายที่ให้บริการอินเทอร์เน็ตกับหน่วยงาน หรือองค์กรที่มีหมายเลขไอพี (IP Adrdress) คงที่ โดยทั่วไปจะมีระบบเครือข่ายและสารสนเทศ
ภายในจำนวนมาก และมีผู้ดูแลระบบประจำหน่วยงาน
Broadband เครือข่ายที่ให้บริการอินเทอร์เน็ตกับผู้ใช้ทั่วไป มีการระบุหมายเลขไอพี (IP Address) กับเครื่องที่เป็นลักษณะไดนามิกไอพี (Dynamic IP) ซึ่ง
หมายเลขไอพี (IP Address) จะเปลี่ยนแปลงไปได้ตามเงื่อนไขที่ผู้ให้บริการกำหนด ผู้ใช้เครือข่ายแบบนี้ส่วนมากจะเป็นผู้ใช้บริการตามบ้าน หรือ
สำนักงานขนาดเล็กที่มีผู้ใช้บริการจำนวนน้อย

118
ภัยคุกคามในเครือข่าย
ตารางที่ 10 จำนวนหมายเลขไอพีของเครือข่าย (AS number ที่ได้รับแจำ้งเหตุภัยคุกคาม) ที่ได้รับแจำ้งรายงานภัยคุกคามสูง
ที่สุด นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ผู้ให้บริการอินเทอร์เน็ต AS Number จำนวนหมายเลขไอพี
จำนวนรายงานเหตุภัยคุกคาม
นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ
TOT
True Internet
9737
23969
38040
56120
7470
9287
17552
1,355,520 1,045,917
2,249,472 749,732
Triple T Broadband 45758 1,069,056 720,117
Jastel Network
45629
55423
1,094,656 686,283

119
ผู้ให้บริการอินเทอร์เน็ต AS Number จำนวนหมายเลขไอพี
จำนวนรายงานเหตุภัยคุกคาม
นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ
CAT Telecom
Super Broadband Network
(SBN)
4651
9931
18252
131089
131090
38444
45430
45458
308,224 66,953
207,616 60,441
Real Move 132061 65,536 36,758
Advanced Wireless Network
(AWN)
131445 102,400 31,256
DTAC
17724
24378
266,240 25,720
TT&T 55465 403,456 14,363

120
BOTNET
ตารางที่ 11 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจำนวนรายงานประเภท Botnet สูงที่สุด
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
TOT
True Internet
AS9737: 82.77%
AS23969: 28.07%
AS38040: 0.01%
AS56120: 0.55%
AS7470: 1.03%
AS9287: 0.57%
AS17552: 44.42%
1,027,199 978,427 900,415 149,699
713,584 649,075 606,270 55,372
Triple T Broadband AS45758: 63.71% 681,065 371,909 564,295 55,237
Jastel Network
AS45629: 59.50%
AS55423: 0.34%
637,276 549,705 290,074 4,756

121
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom
Super Broadband
Network (SBN)
AS9931: 2.30%
AS18252: 0.22%
AS131089: 97.79%
AS131090: 65.52%
AS38444: 26.77%
AS45430: 3.85%
AS45458: 14.73%
63,216 59,448 50,880 232
48,842 25,624 32,759 8,584
Real Move AS132061: 56.09% 36,758 36,723 17,197 -
Advanced Wireless
Network (AWN)
AS131445: 30.52% 31,256 31,256 - -
DTAC
AS17724: 0.39%
AS24378: 9.63%
25,502 24,721 13,904 8,414
TT&T AS55465: 3.14% 12,670 9,637 4,770 27

122
OPEN DNS RESOLVER
ตารางที่ 12 สถิติประเภท Open DNS Resolver นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก
จำแนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
TOT
True Internet
Jastel Network
AS9737: 58.46%
AS23969: 3.27%
AS38040: 0.01%
AS56120: < 0.01%
AS7470: 0.29%
AS9287: 0.73%
AS17552: 41.27%
AS45629: 14.57%
AS55423: 0.21%
725,003 721,958 19,763 16,381
659,843 659,227 147,458 107,309
156,106 156,104 6 858
Triple T Broadband AS45758: 9.13% 97,622 87,355 11,757 11,245

123
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom
AS4651: 0.01%
AS9931: 0.83%
AS18252: 0.02%
AS131089: 3.97%
AS131090: 59.67%
54,671 54,530 611 940
Advanced Datanetwork
Communications (ADC)
AS17565: 12.11% 4,154 4,0.57 245 280
CS Loxinfo
AS4750: 0.83%
AS7568: 0.10%
AS9891: 1.66%
AS45537: 11.33%
3,809 3,665 672 966
KSC AS7693: 0.83% 2,177 2,151 197 282
Ministry of Education AS23974: 1.26% 1,446 1,328 527 752
TT&T AS55465: 0.33% 1,315 1,314 3 13

SCANNING
ตารางที่ 13 สถิติประเภท Scanning นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก
จำแนกตามผู้ให้บริการเครือข่าย
124
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
True Internet
AS7470: 0.02%
AS9287: 0.11%
AS17552: 0.31%
5,045 3,218 1,881 1,847
Triple T Broadband AS45758: 0.42% 4,514 2,676 1,890 1,321
TOT
Jastel Network
AS9737: 0.29%
AS23969: 0.13%
AS38040: 0.01%
AS56120: 0.01%
AS45629: 0.24%
AS55423: 0.01%
3,678 2,305 1,474 1,640
2,535 2,533 - 70

125
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom
CS Loxinfo
AS9931: 0.12%
AS18252: 0.02%
AS131089: 0.07%
AS4750: 0.02%
AS9891: 0.22%
240 161 114 94
160 117 63 111
Ministry of Education AS23974: 0.10% 112 63 55 34
UniNet
AS4621: 0.06%
AS38589: 0.07%
81 48 38 36
BB Broadband AS38794: 0.11% 52 32 23 25
DTAC AS24378: 0.02% 42 28 14 9

SPAM
ตารางที่ 14 สถิติประเภท Spam นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด 10 อันดับแรก
จำแนกตามผู้ให้บริการเครือข่าย
126
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
TOT
AS9737: 41.99%
AS23969: 18.22%
AS56120: 0.39%
532,718 38,180 516,982 399,539
Triple T Broadband AS45758: 12.69% 135,675 8,211 130,351 53,170
True Internet
Super Broadband
Network (SBN)
AS7470: 0.22%
AS9287: 0.17%
AS17552: 7.50%
AS38444: 12.85%
AS45430: 6.12%
AS45458: 6.29%
121,076 7,544 115,830 100,637
23,248 7,912 22,199 43,005

127
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
DTAC
Jastel Network
AS17724: 0.07%
AS24378: 5.38%
AS45629: 0.77%
AS55423: 0.05%
14,245 7,715 13,673 21,742
8,228 8,211 16 2,717
Advanced Datanetwork
Communications (ADC)
AS17565: 11.20% 3,842 365 3,659 3,786
UniNet
AS4621: 2.70%
AS38589: 0.26%
AS56277: 0.78%
3,453 1,572 3,016 2,353
PROEN AS23884: 7.23% 3,368 9 3,364 66
CAT Telecom
AS9931: 1.03%
AS18252: 0.15%
2,054 1,165 1,312 1,312

128
OPEN PROXY SERVER
ตารางที่ 15 10 สถิติประเภท Open Proxy Server นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด
10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
Triple T Broadband AS45758: 0.52% 5,587 2,866 2,927 2,857
Jastel Network AS45629: 0.32% 3,461 2,860 642 4
CAT Telecom
TOT
True Internet
AS9931: 0.02%
AS131090: 1.98%
AS9737: 0.11%
AS23969: 0.02%
AS7470: 0.01%
AS9287: 0.01%
AS17552: 0.02%
1,790 545 1,362 21
1,382 953 618 448
293 78 216 193

129
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556)
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
Super Broadband Network
(SBN)
AS38444: < 0.01%
AS45458: 0.30%
85 7 80 19
Ministry of Education AS23974: 0.04% 50 38 19 19
UniNet AS4621: 0.02% 30 22 15 9
CS Loxinfo
AS4750: < 0.01%
AS9891: 0.03%
16 9 8 3
Chiang Mai University AS17479: 0.29% 9 9 - 2

130
MALWARE URL
ตารางที่ 16 สถิติประเภท Malware URL นับตามจำนวนURL และหมายเลขไอพีที่ไม่ซ้ำที่ถูกรายงานสูงสุด
10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพี
ที่ไม่ซ้ำต่อจำนวนหมายเลข
ไอพีของแต่ละ AS Number
(2556)
จำนวนรายงานที่
ได้รับ
จำนวน URL ที่
ไม่ซ้ำ
จำนวนหมายเลข
ไอพีที่ไม่ซ้ำ
จำนวนรายงานที่ได้รับ
/ จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ
CAT Telecom AS9931: 0.15% 16,732 4,170 307 54.5
Ministry of Education AS23974: 0.05% 12,807 2,853 54 237.2
CS Loxinfo
AS4750: < 0.01%
AS9891: 0.35%
10,157 2,812 133 76.4
Sripatum University AS46079: 0.23% 1,218 383 3 406.0
Metrabyte AS56067: 0.46% 1,159 420 42 27.6

131
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพี
ที่ไม่ซ้ำต่อจำนวนหมายเลข
ไอพีของแต่ละ AS Number
(2556)
จำนวนรายงานที่
ได้รับ
จำนวน URL ที่
ไม่ซ้ำ
จำนวนหมายเลข
ไอพีที่ไม่ซ้ำ
จำนวนรายงานที่ได้รับ
/ จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ
ISP Thailand AS7654: 0.06% 759 237 23 33.0
INET AS4618: 0.02% 589 232 50 11.8
KSC AS7693: < 0.01% 406 79 10 40.6
True Internet
AS7470: < 0.01%
AS9287: 0.03%
AS17552: < 0.01%
398 54 17 23.4
UniNet AS4621: 0.02% 262 69 28 9.4

132
WEB DEFACEMENT
ตารางที่ 17 สถิติประเภท Web Defacement นับตามจำนวน URL และหมายเลขไอพีที่ไม่ซ้ำ
ที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพี
ที่ไม่ซ้ำต่อจำนวนหมายเลข
ไอพีของแต่ละ AS Number
(2556)
จำนวนรายงานที่
ได้รับ
จำนวน URL
ที่ไม่ซ้ำ
จำนวนหมายเลข
ไอพีที่ไม่ซ้ำ
จำนวนรายงานที่ได้รับ
/ จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ
CAT Telecom
AS4651: 0.04%
AS9931: 0.20%
AS131090: 0.01%
3,451 3,367 419 8.2
Metrabyte AS56067: 0.66% 1,390 1,383 61 22.8
CS Loxinfo
AS4750: 0.01%
AS9891: 0.47%
AS45537: 2.34%
915 905 195 4.7
INET AS4618: 0.03% 676 675 77 8.8
Pacnet Internet AS4765: 0.04% 461 430 32 14.4

133
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพี
ที่ไม่ซ้ำต่อจำนวนหมายเลข
ไอพีของแต่ละ AS Number
(2556)
จำนวนรายงานที่
ได้รับ
จำนวน URL
ที่ไม่ซ้ำ
จำนวนหมายเลข
ไอพีที่ไม่ซ้ำ
จำนวนรายงานที่ได้รับ
/ จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ
UniNet
AS4621: 0.06%
AS38589: 0.26%
369 364 75 4.9
Ministry of Education AS23974: 0.08% 305 283 89 3.4
ISP Thailand AS7654: 0.07% 139 138 26 5.3
POP-IDC AS131447: 0.78% 117 117 18 6.5
Netway Communication AS18362: 0.27% 98 98 11 8.9

134
PHISHING
ตารางที่ 18 สถิติประเภท Phishing ที่ถูกรายงานสูงสุด 10 อันดับแรก จำแนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom AS4651: 0.08%
AS9931: 0.09%
AS131090: 0.01%
199 119 108 96
TOT AS9737: 0.01% 110 100 45 6
CS Loxinfo AS4750: < 0.01%
AS9891: 0.26%
AS45537: 0.39%
98 62 51 37
Ministry of Education AS23974: 0.04% 44 25 19 11
Metrabyte AS56067: 0.41% 38 30 22 19

135
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจำนวนหมายเลขไอพีที่ไม่ซ้ำ
ต่อจำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จำนวนหมายเลขไอพี
ที่ไม่ซ้ำ (2556
จำนวนหมายเลขไอพีที่ไม่ซ้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
INET AS4618: 0.02% 35 22 20 15
UniNet AS4621: 0.02% 28 15 16 5
True Internet AS7470: < 0.01%
AS9287: 0.02%
AS17552: < 0.01%
16 10 8 7
ISP Thailand AS7654: 0.04% 15 10 6 9
Siamdata Communication AS56309: 0.49% 15 9 7 2
PROEN AS23884: 0.03% 13 7 9 6
หมายเหตุ: จำนวนรายงานภัยคุกคามที่ได้รับแจ้งในปี 2556 มีจำนวนเพิ่มขึ้นจากปี 2555 เป็นจำนวนมาก เนื่องจาก ไทยเซิร์ต ได้ขยายเครือข่ายความร่วมมือและเพิ่มแหล่งข้อมูลภัยคุกคามเพิ่มขึ้น

ภาคผนวก ง รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC
CERTIFICATE
ตารางที่ 19 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC-M
ลำดับที่ ชื่อ-นามสกุล หน่วยงาน ประเภท
1 สมลักษณ์ กิติวัฒนบำรุง บ.จันวาณิชย์ จำกัด iSEC-M
2 จิรพัฒน์ สุมานนท์ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) iSEC-M
3 จิรชาติ วงศ์ทอง โรงพยาบาลศิครินทร์ iSEC-M
4 ทนงศักดิ์ กิจโรณี การไฟฟ้าส่วนภูมิภาค iSEC-M
5 กรรกร จักรกริชกูล สถาบันคุ้มครองเงินฝาก iSEC-M
6 วิจารณ์ ชัยโรจน์ ธนาคารอาคารสงเคราะห์ iSEC-M
7 เฉลิมพร ช่วยรักษา การไฟฟ้าส่วนภูมิภาค iSEC-M
8 จิตสถา ธาตวากร การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย iSEC-M
9 สุภชัย พันธ์โกศล ส่วนตัว iSEC-M
10 ปรัชญา พรนิมิตกุล ธนาคารกรุงเทพ จำกัด (มหาชน) iSEC-M
11 วริศรา นาคประสงค์ การไฟฟ้านครหลวง iSEC-M
136

137
ISEC-T
ตารางที่ 20 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA
ลำดับที่ ชื่อ-นามสกุล หน่วยงาน ประเภท
1 ผศ.ดร.ศุภกร กังพิศดาร คณะวิทยาการและเทคโนโลยีสารสนเทศ
มหาวิทยาลัยเทคโนโลยีมหานคร
2 อนุชา เกษมวัฒนากุล สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) iSEC-T
3 กมล สินสวนแตง Progress Software iSEC-T
4 ภาสกร ถายะพิงค์ VeriFone (Thailand) Co., Ltd. iSEC-T
5 ธนัท ทองอุทัยศรี NSTDA Academy iSEC-T
6 วชิรา เทพศิริ การไฟฟ้าส่วนภูมิภาค iSEC-T
7 ธนา พงษ์กิตติหล้า การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย iSEC-T
8 สุณัฏฐา จันทร์วัฒนะ บริษัท ทีโอที จำกัด (มหาชน) iSEC-T
9 พ.ต. พิศุทธิ์ ม่วงสมัย กรมยุทธการทหาร กองบัญชาการกองทัพไทย iSEC-T
iSEC-T

138
คณะผู้จัดทำ
ชัยชนะ มิตรพันธ์
ผู้ช่วยผู้อ นวยการ สพธอ.
สรณันท์ จิวะสุรัตน์
ผู้อ นวยการ ส นักความมั่นคงปลอดภัย
ธงชัย แสงศิริ
รองผู้อ นวยการ ส นักความมั่นคงปลอดภัย
สุรางคณา วายุภาพ
ผู้อำนวยการ สพธอ.
ฝ่ายจัดทำ เนื้อหา
ฝ่ายศิลป์และพิสูจน์อักษร
ฝ่ายประสานงาน
สุรางคณา วายุภาพ
ชัยชนะ มิตรพันธ
สรณันท์ จิวะสุรัตน
ธงชัย แสงศิริ
พรพรหม ประภากิตติกุล
ธงชัย ศิลปวรางกูร,
ณัฐโชติ ตุสิตานนท์
และทีมไทยเซิร์ต
ณัฐพงศ์ วรพิวุฒิ
นภดล อุษณบุญศิริ
ณัฐนัย รวดเร็ว
ทศพร โขมพัตร
นิโรจน์ พิกุลทอง
รจนา ล้ำ เลิศ
โชติกา สินโน
พรรวดี โควินทเศรษฐ

140