1. 1

3. 2013 ThaiCERT
ANNUAL REPORT
รายงานประจำ�ปีไทยเซิร์ต 2556

4. ชื่อเรื่อง : รายงานประจ�ำปีไทยเซิร์ต 2556 (2013 ThaiCERT ANNUAL REPORT)
เรียบเรียงโดย : สุรางคณา วายุภาพ, ชัยชนะ มิตรพันธ์, สรณันท์ จิวะสุรัตน์, ธงชัย แสงศิริ
พรพรหม ประภากิตติกุล, ธงชัย ศิลปวรางกูร, ณัฐโชติ ตุสิตานนท์ และทีมไทยเซิร์ต
เลข ISBN : ISBN 978-616-91910-8-7
พิมพ์ครั้งที่ : 1 พฤศจิกายน 2557
พิมพ์จ�ำนวน : 1,000 เล่ม
ราคา : 300 บาท
สงวนลิขสิทธิ์ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537
จัดพิมพ์และเผยแพร่โดย :
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย
(Thailand Computer Emergency Response Team)
ส�ำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
อาคารเดอะ ไนน์ ทาวเวอร์ แกรนด์ พระรามเก้า (อาคารบี) ชั้น 21 เลขที่ 33/4
ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310
โทรศัพท์ : 0 2123 1234 | โทรสาร : 0 2123 1200
อีเมล : office@thaicert.or.th
เว็บไซต์ไทยเซิร์ต : www.thaicert.or.th
เว็บไซต์ สพธอ. : www.etda.or.th
เว็บไซต์กระทรวงไอซีที : www.mict.go.th

5. 5

6. สารจากผู้กำ�หนดทิศทาง “ไทยเซิร์ต”

7. ในขณะที่โลกกำ�ลังมุ่งสู่ยุคที่คนและเทคโนโลยีต้อง
เกี่ยวพันกัน 24x7 และประเทศไทยมีผู้ใช้อินเทอร์เน็ต
เกือบ 30% ของประชากร ประเทศจำ�เป็นต้องวาง
โครงสร้างการบริหารจัดการความมั่นคงปลอดภัย
ไซเบอร์ของประเทศที่มีความชัดเจน ในบทบาทหน้าที่
“ไทยเซิร์ต” ภายใต้การกำ�กับดูแลของ สพธอ. ถือเป็น
กำ�ลังสำ�คัญที่พร้อมให้ความช่วยเหลือดูแลงาน
ความมั่นคงปลอดภัยไซเบอร์ที่สำ�คัญนี้
พรชัย รุจิประภา
รัฐมนตรีว่าการกระทรวงไอซีที

8. บทบาทของกระทรวงไอซีทีที่จะต้องส่งเสริมการพัฒนา
และการใช้เทคโนโลยีไซเบอร์ในการบริหารจัดการ
ประเทศเพียงอย่างเดียวอาจยังไม่เพียงพอ จำ�เป็นต้องมี
หน่วยงานกลางที่สามารถให้ความช่วยเหลือได้รวดเร็ว
ทันที แก้ปัญหาเฉพาะหน้าได้อย่างมีประสิทธิภาพ
ซึ่งดิฉันเชื่อมั่นว่า “ไทยเซิร์ต” พร้อมในบทบาทนี้
เมธินี เทพมณี
ปลัดกระทรวงไอซีที

9. ในระยะ 3 ปี ที่ผ่านมา “ไทยเซิร์ต” ภายใต้ สพธอ.
ได้มีส่วนดูแลและปกป้องธุรกรรมออนไลน์
ของประเทศไทย ซึ่งผมและกรรมการบริหาร สพธอ.
พร้อมผลักดันและสนับสนุนการทำ�งานของ
“ไทยเซิร์ต” ให้เข้มแข็งมากขึ้นและเป็นกำ�ลังสำ�คัญ
ในด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ
เพื่อพร้อมเข้าสู่ AEC2015
จรัมพร โชติกเสถียร
ประธานกรรมการบริหาร สพธอ.

10. ก้าวต่อไปในอนาคตของ Cybersecurity ไทย
จะต้องมีการผลักดันให้ประเทศมี National
Cybersecurity Governance โดย สพธอ.
จะยกระดับการทำ�งานของ “ไทยเซิร์ต” ให้เป็น
National CERT เพื่อให้ประเทศมีความพร้อม
ในการรับมือภัยคุกคามไซเบอร์ได้ทันท่วงที
สุรางคณา วายุภาพ�
ผอ.สพธอ.

11. 11

12. 12
CONTENTS | สารบัญ
สารจากผู้ก�ำหนดทิศทาง “ไทยเซิร์ต” 4
สารบัญ/ สารบัญตาราง/ สารบัญรูปภาพ/ สารบัญกราฟ 12
บทน�ำ 20
บทที่ 1 ผลงานเด่นและเหตุการณ์ส�ำคัญ ปี 2556 22
1.1 ThaiCERT 2013 Infographic 24
1.2 Key Event Timeline 2013 26
บทที่ 2 บริการของไทยเซิร์ต 30
2.1 บริการรับมือและจัดการสถานการณ์ด้านความมั่นคงปลอดภัย 32
2.2 บริการวิชาการด้านความมั่นคงปลอดภัย 33
2.3 บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสารด้านความมั่นคงปลอดภัย 34
2.4 บริการตรวจพิสูจน์พยานหลักฐานดิจิทัล 35
2.5 บริการตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ 36

13. 13
บทที่ 3 รายงาน Threat & Cybersecurity ปี 2556 38
3.1 ภัยคุกคามที่ไทยเซิร์ตได้รับแจ้ง 39
3.1.1 สถิติภัยคุกคามด้านสารสนเทศที่ได้รับแจ้งผ่านระบบอัตโนมัติ 41
3.1.2 สถิติภัยคุกคามที่ได้รับการประสานและจัดการโดยไทยเซิร์ต 59
3.2 ภัยคุกคามที่เป็นกรณีศึกษาที่ไทยเซิร์ตเข้าไปด�ำเนินการ 64
3.2.1 กรณีพบการโจมตีเว็บไซต์ที่ใช้ระบบบริหารจัดการเว็บไซต์ CMS ของไทย 65
3.2.2 กรณีแอปพลิเคชันธนาคารออนไลน์ปลอมในระบบปฏิบัติการแอนดรอยด์ 66
3.2.3 กรณีเว็บไซต์ส�ำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม 68
3.2.4 กรณีไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi 70
3.2.5 กรณี Web Defacement หน่วยงานส�ำคัญในประเทศ 72
3.2.6 กรณีการตรวจพิสูจน์พยานหลักฐานเครื่อง BitTorent Server 75
บทที่ 4 การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร์ 76
4.1 ประชุม อบรม สัมมนา และกิจกรรมอื่น ๆ 77
4.1.1 ประชุมและสัมมนาที่ไทยเซิร์ตเช้าร่วม 78
4.1.2 ศึกษาดูงาน 82
4.1.3 กิจกรรมที่ไทยเซิร์ตเป็นเจ้าภาพ 83
4.2 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ 88
4.3 ข้อตกลงความร่วมมือกับหน่วยงานทั้งในและต่างประเทศ 90

14. 14
บทที่ 5 รายงาน CERTs ของประเทศสมาชิกอาเซียน +3 94
บทที่ 6 ความท้าทายในบทบาท National CERT 104
ภาคผนวก
ภาคผนวก ก การจัดประเภทของเหตุภัยคุกคามด้านสารสนเทศ 110
ภาคผนวก ข อภิธานศัพท์และค�ำย่อ 114
ภาคผนวก ค ข้อมูลสถิติรายงานภัยคุกคามที่ได้รับแจ้งจากระบบอัตโนมัติ 118
ภาคผนวก ง รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC 136

15. 15
สารบัญตารางตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก 46
ตารางที่ 2 ค�ำอธิบายของหมายเลขพอร์ตที่ถูกสแกน 58
ตารางที่ 3 ข้อมูลการด�ำเนินการเหตุภัยคุกคามประเภท Fraud จ�ำแนกตามผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง 61
ตารางที่ 4 ข้อมูลการด�ำเนินการเหตุภัยคุกคามประเภท Fraud จ�ำแนกตามผู้เกี่ยวข้องและประเภทหน่วยงาน 62
ตารางที่ 5 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ที่บุคลากร ThaiCERT ได้รับ 88
ตารางที่ 6 ข้อมูลของหน่วยงาน CERT ระดับประเทศในอาเซียน+3 95
ตารางที่ 7 ประเภทภัยคุกคามของรายงานที่ได้รับแจ้งผ่านระบบอัตโนมัติ 110
ตารางที่ 8 แสดงประเภทของภัยคุกคามส�ำหรับการประสานเพื่อรับมือและจัดการ 112
ตารางที่ 9 อภิธานศัพท์และค�ำย่อ 114
ตารางที่ 10 จ�ำนวนหมายเลขไอพีของเครือข่าย (AS number ที่ได้รับแจ้งเหตุภัยคุกคาม) ที่ได้รับแจ้งรายงานภัยคุกคามสูงที่สุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 118
ตารางที่ 11 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจ�ำนวนรายงานประเภท Botnet สูงที่สุด 120
ตารางที่ 12 สถิติประเภท Open DNS Resolver นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 122
ตารางที่ 13 สถิติประเภท Scanning นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 124

16. 16
สารบัญตารางตารางที่ 14 สถิติประเภท Spam นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 126
ตารางที่ 15 สถิติประเภท Open Proxy Server นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 128
ตารางที่ 16 สถิติประเภท Malware URL นับตามจ�ำนวนURL และหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 130
ตารางที่ 17 สถิติประเภท Web Defacement นับตามจ�ำนวน URL และหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 130
ตารางที่ 18 สถิติประเภท Phishing ที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 134
ตารางที่ 19 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-M 136
ตารางที่ 20 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-T 137

17. 17
สารบัญรูปภาพรูปที่ 1 ลักษณะการโจมตีด้วยเทคนิค DNS amplification attack (ที่มา: secureworks com) 50
รูปที่ 2 ตัวอย่างเว็บไซต์ที่ถูกโจมตี Web Defacement 65
รูปที่ 3 ตัวอย่างแอปพลิเคชันปลอม 66
รูปที่ 4 โครงสร้างของไฟล์ภายในแอปพลิเคชันปลอม 67
รูปที่ 5 พฤติกรรมของการส่ง SMS ที่ตรวจสอบได้ 67
รูปที่ 6 การดาวน์โหลด Java Applet ไม่พึงประสงค์ 68
รูปที่ 7 เว็บไซต์ของธนาคารที่ถูกเพิ่มเนื้อหาเข้าไปโดยโปรแกรมไม่พึงประสงค์ 69
รูปที่ 8 แสดงการจ�ำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ 70
รูปที่ 9 แสดงหน้าต่างแจ้งเตือนการอัปเดต 70
รูปที่ 10 ตัวอย่างการโจมตีในลักษณะ Web defacement กับเว็บไซต์ของกระทรวงศึกษาธิการ 74
รูปที่ 11 อันดับความสามารถในการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ในรายงาน World Competitiveness Rankings 2013 ของ IMD 105

18. 18
สารบัญกราฟกราฟที่ 1 จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี 41
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจ�ำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด นับเฉพาะหมายเลขไอพีที่ไม่ซ�้ำ 42
กราฟที่ 3 จ�ำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 42
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง 43
ชุดกราฟที่ 1 สัดส่วนจ�ำนวนหมายเลขไอพีไม่ซ�้ำของเครือข่ายต่างๆ จ�ำแนกตามประเภทภัยคุกคาม 44
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง 46
กราฟที่ 6 เปรียบเทียบการบุกรุกเว็บไซต์แบบต่าง ๆ 52
กราฟที่ 7 เปรียบเทียบการโจมตีเว็บไซต์แบบต่าง ๆ โดยจ�ำแนกตามประเภทของเว็บไซต์ 53
กราฟที่ 8 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Malware URL สูงที่สุด 54
กราฟที่ 9 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Web Defacement สูงที่สุด 55
กราฟที่ 10 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Phishing สูงที่สุด 56
กราฟที่ 11 10 อันดับแรกของหมายเลขพอร์ตที่ถูกสแกนสูงสุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 57
กราฟที่ 12 จ�ำนวนเหตุภัยคุกคามที่ไทยเซิร์ตด�ำเนินการระหว่างปี 2547 - 2556 59

19. 19
สารบัญกราฟกราฟที่ 13 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 60
กราฟที่ 14 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 จ�ำแนกตามประเทศของผู้แจ้ง 61
กราฟที่ 15 สัดส่วนโดเมนที่ได้ถูกแจ้งซ�้ำภัยคุกคามประเภท Fraud และ Intrusions โดยจ�ำแนกตามประเภทของเว็บไซต์ 63
กราฟที่ 16 จ�ำนวนรายงานมัลแวร์ที่ได้รับแจ้งจาก Microsoft ในแต่ละเดือนในปี 2556 นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 64
กราฟที่ 17 สถิติภัยคุกคามประเภท Web Defacement จ�ำแนกเฉพาะหน่วยงานของรัฐในภูมิภาคอาเซียนในปี 2556 72
กราฟที่ 18 สถิติภัยคุกคามประเภท Web Defacement ปี 2556 จ�ำแนกตามประเภทหน่วยงาน (เฉพาะ .th) 73
กราฟที่ 19 จ�ำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ของประเทศในอาเซียน+3 ได้รับแจ้งระหว่างปี 2550-2555 101
กราฟที่ 20 สัดส่วนของภัยคุกคามแต่ละประเภทที่ถูกแจ้งไปยังหน่วยงาน CERT ของแต่ละประเทศในกลุ่มอาเซียน+3 ในปี 2554 และ 2555 102

20. 20
บทนำ�
ไทยเซิร์ตภายใต้การน�ำของส�ำนักงานพัฒนา
ธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้เปิดให้
บริการต่อเนื่องมาเป็นปีที่ 3 แล้วนับตั้งแต่ที่มีมติคณะ
รัฐมนตรีเมื่อปี 2554 ให้โอนย้ายภารกิจมาจากศูนย์
เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติหรือ
NECTECโดยท�ำหน้าที่เป็นหน่วยงานภาครัฐหลักที่ตอบ
สนองและจัดการกับเหตุการณ์ความมั่นคงปลอดภัย
คอมพิวเตอร์ และให้การสนับสนุนที่จ�ำเป็นและค�ำ
แนะน�ำในการแก้ไขภัยคุกคามความมั่นคงปลอดภัย
รวมทั้งติดตามและเผยแพร่ข่าวสารและเหตุการณ์ทาง
ด้านความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ต่อ
สาธารณชน ตลอดจนท�ำการศึกษาและพัฒนาเครื่อง
มือและแนวทางต่าง ๆ ในการปฏิบัติเพื่อเพิ่มความ
มั่นคงปลอดภัยในการใช้คอมพิวเตอร์และเครือข่าย
อินเทอร์เน็ต ซึ่งที่ผ่านมาก็ประสบผลส�ำเร็จโดยอาศัย
ช่องทางความร่วมมือระหว่างเครือข่าย CERT ที่มีทั้ง
ภายในประเทศไทยและต่างประเทศช่วยเหลือซึ่งกัน
และกัน บริการของไทยเซิร์ตเป็นช่องทางส�ำคัญ
ที่ช่วยให้ค�ำปรึกษาและบรรเทาความเดือดร้อน

21. 21
ในเบื้องต้นให้แก่ประชาชนที่ได้รับผลกระทบจากโปรแกรมไม่
พึงประสงค์ การบุกรุกเข้าระบบ ความพยายามรวบรวมข้อมูล
การโจมตีสภาพความพร้อมใช้งาน การฉ้อโกง ฯลฯ ก่อนที่จะ
เข้าสู่การด�ำเนินการโดยผู้รักษากฎหมายต่อไป
ปัจจุบันเจ้าหน้าที่ไทยเซิร์ตสามารถรักษาระดับคุณภาพ
การให้บริการโดยด�ำเนินการตรวจสอบและวิเคราะห์เหตุเพื่อ
ประสานงานไปยังหน่วยงานที่เกี่ยวข้องได้ภายใน 6 ชั่วโมงหลัง
จากที่ได้รับแจ้งเหตุในช่วงวันเวลาท�ำการและได้ให้บริการตรวจ
พิสูจน์พยานหลักฐานดิจิทัลด้วยเจ้าหน้าที่ ผู้เชี่ยวชาญที่ได้รับ
ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ใน
ระดับสากล โดยใช้เครื่องมือและกระบวนการที่สอดคล้องกับ
มาตรฐานสากลซึ่งจะได้รับการยอมรับทั่วโลกและสามารถ
รองรับการปฏิบัติงานในรูปแบบ e-Court ต่อไปในอนาคต
ไฮไลต์ที่ส�ำคัญในรอบปี 2556 นั้น ไทยเซิร์ตได้
ประสานงานและแจ้งเตือนภัยคุกคามที่เกิดขึ้นในประเทศไทย
จากข้อมูลที่ได้รับผ่านเครือข่าย CERT จ�ำนวนสูงถึง 65 ล้าน
รายการ และรับมือและจัดการภัยคุกคามที่ได้รับแจ้งหรือ
ตรวจพบจ�ำนวน 1,745 เรื่อง (เพิ่มจากปีที่แล้ว 2 เท่า) เป็น
เหตุการณ์ประเภทเจาะระบบเว็บไซต์ที่ตั้งอยู่ในประเทศไทย
1,450 เว็บไซต์ และได้ให้บริการตรวจพิสูจน์พยานหลักฐาน
ดิจิทัล จ�ำนวน 11 เคส รวมปริมาณข้อมูลที่ท�ำส�ำเนาและ
ตรวจวิเคราะห์ 14 เทราไบต์ นอกจากนี้ ไทยเซิร์ต ยังมี
บทบาทเป็นผู้ที่ผลักดันการพัฒนาบุคลากรให้แก่หน่วยงาน
รัฐให้มีโอกาสได้เรียนและสอบประกาศนียบัตรวิชาชีพฯ เช่น
Certified Ethical Hacker (CEH) จัดการอบรมและบรรยาย
โดยผู้เชี่ยวชาญจากต่างประเทศ เช่น หลักสูตรเทคนิคการ
ตรวจพิสูจน์พยานหลักฐานดิจิทัลประเภทโทรศัพท์มือถือ
ร่วมกับส�ำนักงานต�ำรวจแห่งชาติ หลักสูตรอบรม OWASP
Open Web and Application Security Day ให้แก่ผู้พัฒนา
เว็บไทย จัดอบรมและประเมินสมรรถนะด้าน Security ให้
กับบุคลากรด้านความมั่นคงปลอดภัยด้วยมาตรฐาน Local
Certification ที่พัฒนาร่วมกับ Thailand Information
Security Association (TISA)
หนังสือรายงานประจ�ำปีของไทยเซิร์ตฉบับนี้จัดท�ำขึ้นเพื่อ
รวบรวมผลการปฏิบัติงานและเผยแพร่ข้อมูลที่เป็นประโยชน์
ต่อสาธารณะ และคาดหวังว่าจะเป็นประโยชน์ทั้งในแง่ข้อมูล
สถิติเชิงวิชาการที่จะน�ำไปอ้างอิงและเป็นประโยชน์ต่อการ
สร้างความตระหนักแก่ประชาชนทั่วไป และสร้างความสนใจ
ให้มีผู้ที่ประกอบอาชีพด้านความมั่นคงปลอดภัยสารสนเทศใน
ประเทศไทยเพิ่มมากขึ้น อีกทั้งยังเป็นประโยชน์ต่อผู้บริหาร
ที่มีหน้าที่ก�ำหนดนโยบายหรือแผนปฏิบัติของหน่วยงานหรือ
ตัดสินใจเกี่ยวกับนโยบายการใช้ระบบสารสนเทศอย่างมั่นคง
ปลอดภัย
สุรางคณา วายุภาพ
ผู้อ�ำนวยการ
ส�ำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

22. 22
ผลงานเด่นและเหตุการณ์สำ�คัญ ปี 2556
บทที่ 1.

23. 23

24. 24
เพิ่มขึ้นจาก
953
เรื่อง
รับมือและจัดการ
ภัยคุกคามไซเบอร
ไดรับแจง 850 เรื่อง
ตรวจพบเอง 895 เรื่อง
เรื่อง1,745
2012ป
• Security Techniques 13 Certs
• Digital Forensics 8 Certs
• Security Mgt& Audit 4 Certs
บุคลากรไทยเซิรต
ใบรับรอง
สากลในป
2 0 1 325ไดรับ
• CEH ใหเจาหนาที่ของรัฐ 20 คน
• OWASP ใหนักพัฒนาเว็บไทย 38 คน
จาก 18 หนวยงาน
• อบรมและจัดประเมินสมรรถนะ
ดาน Security ในประเทศ จำนวน 120 คน
• รวมกับ สตช. อบรม Mobile Forensics 20 คน
• อบรมจัดตั้ง LaoCERT 20 คน
พัฒนาบุคลากรดาน Cybersecuriy
200กวา คน
เจาภาพประชุม
สัมมนานานาชาติ 2 งาน
• ก.พ. : ASEAN-Japan Information Security
Workshop ผูเขารวมงาน จาก 7 ประเทศ
มีผูเขารวมงานรวมกวา จาก
550
ประเทศ
59
คน
• มิ.ย. : 25th
Annual FIRST Conference 2013
ผูเขารวมงานจาก 59 ประเทศ
ผลงานดานการพัฒนาบุคลากร
ประสานงานและ
แจงเตือนภัยคุกคาม
ซึ่งเกี่ยวของกับจำนวนไอพี
65รายการ
ลาน
5.4หมายเลข
ลาน
ที่เกิดขึ้นในประเทศไทย
จากเครือขาย CERT ทั้งสิ้น
ผลงานดานสถิติของสถานการณ
ดานความมั่นคงปลอดภัย2)1)
ThaiCERT2013INFOGAPHIC

25. 25
จัด Cyber Drill
มีหนวยงานภาครัฐและรัฐวิสาหกิจ
จำลองการโจมตีดวย Malware
14ธนาคาร
เขารวม
และสถาบัน
การเงิน
26
หนวยงาน
2• LaoCERT
• Computer Crime Institute
(Dixie State University)
• SANS Institute
• EC-Council
• Ministry of Internal Affairs and
Communications (Japan)
• สตช.
ขยายเครือขายผาน
MoU6
ฉบับ
32
รวมปริมาณ
ขอมูลตรวจพิสูจน
ตรวจพิสูจนพยาน
หลักฐานดิจิทัล
11
กรณี
อุปกรณ
เทราไบต
เวลาเฉลี่ยแกไขปญหา
คาเฉลี่ยในการปด Phishing Site
31:23 ชั่วโมง
Phishing
ตรวจพบและ
ใหคำแนะนำ
ในการแกไขชองโหว
ชองโหว
ผลงานดานกิจกรรม
และบริการตาง ๆ
ผลงานดานดิจิทัลฟอเรนสิกส
3) 4)
14
ครั้ง
28หนวยงาน
ตรวจสอบ
ชองโหวใหกับ

26. 26
2013KEYEVENTTIMELINE
กิจกรรมที่สำ�คัญเหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำ�คัญ
• เข้าร่วมซักซ้อมรับมือภัยคุกคามกับเครือข่าย
APCERT (APCERT Drill)
• แจ้งเตือน Web Defacement ไทยทีวีสีช่อง 3
(www.thaitv3.com)
• แจ้งเตือน Web Defacement กระทรวงวัฒนธรรม
(www.m-culture.go.th)
• เจ้าภาพจัดการประชุม “ASEAN-Japan
Information Security Policy Workshop”
• ลงนาม MoU ด้าน Cybersecurity กับ Ministry of
Internal Affairs and Communications
ประเทศญี่ปุ่น
• แจ้งเตือนและให้คำ�แนะนำ�ในการแก้ไข Web
Defacement สำ�นักงานคณะกรรมการธุรกรรมทาง
อิเล็กทรอนิกส์ (www.etcommission.go.th)
• จัดซักซ้อมรับมือภัยคุกคามให้หน่วยงานของรัฐ
(Government Cyber Drill)
• ลงนาม MoU ด้าน Digital Forensics กับ Dixie
State College of Utah’s Southwest Regional
Computer Crime Institute (SWRCCI) ประเทศ
สหรัฐอเมริกา
• แจ้งเตือนและให้คำ�แนะนำ�ในการแก้ไข Web
Defacement กระทรวงศึกษาธิการ
(www.moe.go.th)
• แจ้งเตือน ภัยมัลแวร์ Android หลอกขโมยเงินจาก
ธนาคารไทย
JANUARY FEBRUARY MARCH

27. 27
APRIL JUNEMAY
• ตรวจสอบช่องโหว่ให้กับหน่วยงานภาครัฐ 28 หน่วยงาน
• แจ้งเตือน ระวังภัย ช่องโหว่ในแอปพลิเคชัน Viber
ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูล
ในระบบปฏิบัติการ Android
• ร่วมกับ Thailand Information Security Association
(TISA) จัดอบรมและสอบประเมินสมรรถนะบุคลากรด้าน
ความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย
• ลงนาม MoU กับ EC-Council ด้านการพัฒนาบุคลากร
ด้านไซเบอร์
• ให้คำ�แนะนำ�ในการแก้ไข Web Defacement สำ�นักงาน
ปลัดสำ�นักนายกรัฐมนตรี (www.opm.go.th)
• ตรวจพบ แจ้งเตือน และให้คำ�แนะนำ�ในการแก้ไขช่องโหว่
ของระบบบริหารจัดการเว็บโอสติ้งของไทย
• แจ้งเตือน ระวังภัย ช่องโหว่ ใน Internet Explorer 8
(CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว
• ให้การสนับสนุนข้อมูลเชิงเทคนิค การประชุมคณะ
กรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ครั้งที่ 1
• เจ้าภาพจัดงาน 25th
Annual FIRST Conference
Bangkok 2013
• แจ้งเตือน ระวังภัย เว็บไซต์สำ�นักข่าวหลายแห่งใน
ประเทศไทยถูกโจมตีและฝัง e-Banking Trojan

28. 28
KEYEVENTSTIMELINE2556
กิจกรรมที่สำ�คัญเหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำ�คัญ
AUGUST SEPTEMBER
• ร่วมกับ OWASP จัดอบรม ETDA and OWASP:
Open Web and Application Security Day
• ลงนาม MoU กับ LaoCERT ด้านการรับมือและ
จัดการภัยคุกคามไซเบอร์
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Samsung Galaxy
S3 และ Galaxy S4 เปิดให้แอปพลิเคชันใด ๆ
สามารถสร้าง SMS ปลอมหรือแอบส่ง SMS ได้
• ร่วมกับ EC-Council จัดอบรมหลักสูตร Certified
Ethical Hacker v8 (CEH) ให้ผู้เชี่ยวชาญไทย
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Joomla ผู้ไม่หวังดี
สามารถอัปโหลดไฟล์อันตราย เข้ามาในระบบได้
• จัดซักซ้อมรับมือภัยคุกคามให้สถาบันการเงิน
(Financial Cyber Drill)
• ลงนาม MoU กับ สำ�นักงานตำ�รวจแห่งชาติ
ด้านการพัฒนาศักยภาพบุคลากร และมาตรฐาน
การตรวจพิสูจน์พยานหลักฐานดิจิทัล
• แจ้งเตือน ระวังภัย Firefox for Android มีช่องโหว่
ดาวน์โหลดแอปพลิเคชันอันตรายมาติดตั้งทันที
ที่เข้าเว็บไซต์
JULY

29. 29
NOVEMBER DECEMBER
• จัดอบรมการจัดตั้ง CERT ให้กับ LaoCERT
• ลงนาม MoU กับ SANS Institute ในด้านการพัฒนา
บุคลากรด้านไซเบอร์
• เข้าร่วมซักซ้อมรับมือภัยคุกคามไซเบอร์ในภูมิภาค
ASEAN (ASEAN CERT Incident Drill)
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Internet Explorer
ทุกเวอร์ชัน Microsoft ทำ�ให้ผู้ไม่หวังดีสามารถสั่ง
ประมวลผลคำ�สั่งอันตรายได้ (CVE-2013-3893)
• เข้าร่วมและเผยแพร่ภารกิจของไทยเซิร์ต ในงาน ITU
Telecom World 2013 Bangkok
• เฝ้าระวังการโจมตีเว็บไซต์ของหน่วยงานสำ�คัญ และ
สนับสนุนบริการระบบสำ�รองสำ�หรับหน่วยงานที่ถูกปิด
ล้อม ในช่วงสถานการณ์ไม่ปกติ
• ตรวจพบช่องโหว่และประสานงานกับ บ. Naver เพื่อ
แก้ไขแอปพลิเคชัน LINE ป้องกันแฮกเกอร์สามารถดักรับ
ข้อมูล และอ่านบทสนทนาได้
• แจ้งเตือน ระวังภัย ATM Skimmer และข้อควรระวัง
ในการใช้งานตู้ ATM
• แจ้งเตือน ระวังภัย ช่องโหว่ของแอปพลิเคชัน LINE ผู้ใช้
งานควรอัปเดตเวอร์ชันใหม่
• แจ้งเตือน ระวังภัย ระวังภัย Microsoft แจ้งเตือน
ช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน
Adobe Reader
OCTOBER

30. 30
บริการของไทยเซิร์ต
บทที่ 2.

31. 31
ในปี 2556 ไทยเซิร์ต�
รับมือและจัดการภัยคุกคาม
1,745 กรณี นอกจากนี้ยังให้
บริการสำ�รองข้อมูลและสำ�รองระบบ
เมื่อบางหน่วยงานถูกปิดล้อม
ไทยเซิร์ต(ThaiCERT)หรือศูนย์ประสานการรักษาความมั่นคง
ปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ภายใต้การก�ำกับดูแล
ของส�ำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์(องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เริ่มให้บริการใน
เดือนธันวาคม 2554 มีบทบาทที่ส�ำคัญในการรับมือและจัดการ
สถานการณ์ด้านความมั่นคงปลอดภัยทางออนไลน์ในขอบเขต
ครอบคลุมระบบเครือข่ายอินเทอร์เน็ตภายในประเทศไทย และ
ระบบคอมพิวเตอร์ภายใต้โดเมนเนม ประเทศไทย (.th) เป็น
ศูนย์กลางในการประสานความร่วมมือเพื่อแก้ไขและระงับ
เหตุภัยคุกคามด้านสารสนเทศ เพื่อรักษาความต่อเนื่องของการ
ด�ำเนินภารกิจของหน่วยงาน (Business Continuity) และการ
ให้บริการของหน่วยงานต่าง ๆ โดยเฉพาะหน่วยงานที่ถือเป็น
โครงสร้างพื้นฐานส�ำคัญของประเทศ (Critical Infrastructure)
รวมถึงให้การสนับสนุนด้านเทคนิคกับหน่วยงานในสายยุติธรรม
เป้าหมายการดำ�เนินงานของไทยเซิร์ต
• เป็นศูนย์กลางของประเทศในการประสานความ
ร่วมมือและสนับสนุนหน่วยงานในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศ
• สามารถให้บริการรับมือและจัดการภัยคุกคามด้าน
ความมั่นคงปลอดภัย เพื่อรักษาความต่อเนื่องของการ
ด�ำเนินภารกิจของหน่วยงาน โดยเฉพาะหน่วยงานที่
เป็นโครงสร้างพื้นฐานส�ำคัญของประเทศ
• จัดเตรียมบุคลากรให้มีความพร้อมและความสามารถ
ที่ได้รับการยอมรับในระดับสากล ในการรับมือและ
จัดการเหตุภัยคุกคามด้านสารสนเทศ
• สนับสนุนหน่วยงานในสายยุติธรรมในการตรวจพิสูจน์
พยานหลักฐานดิจิทัลเพื่อติดตามตัวผู้กระท�ำผิดมาลงโทษ
• ส่งเสริมและสร้างความตระหนักในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศให้กับหน่วยงานและประชาชน
นอกจากนี้ การด�ำเนินงานของไทยเซิร์ต ยังสอดคล้องกับ
กรอบปฏิบัติที่ก�ำหนดไว้ใน ASEAN Economic Community
Blueprint ในข้อ B4 รายการที่ 51 และ 52 ในการสร้างความ
เชื่อมั่นให้กับภาคธุรกิจและประชาชนในการท�ำธุรกรรมทาง
อิเล็กทรอนิกส์ และลดความเสี่ยงในการเกิดความเสียหายจาก
ภัยคุกคามด้านสารสนเทศ

32. 32
บริการรับมือ
และจัดการสถานการณ์
ด้านความมั่นคงปลอดภัย
ไทยเซิร์ต เป็น Computer Emergency Response
Team (CERT) ระดับประเทศที่ได้รับการยอมรับเป็นตัวแทน
ประเทศไทยในเครือข่าย CERT ระหว่างประเทศ เช่น
Asia Pacific CERT (APCERT) และ Forum of Incident
Response and Security Teams (FIRST) ท�ำหน้าที่รับแจ้ง
เหตุภัยคุกคาม ตรวจสอบ วิเคราะห์หาสาเหตุของปัญหา และ
ประสานงานกับหน่วยงานที่เกี่ยวข้องเพื่อระงับเหตุและแก้ไข
ปัญหานั้น ๆ ปัจจุบันก�ำหนดระดับคุณภาพการให้บริการ
(Service Level Agreement: SLA) ในการวิเคราะห์และ
แจ้งเตือนภัยคุกคามให้กับหน่วยงานที่เกี่ยวข้องทราบภายใน
2 วันท�ำการ เพื่อจ�ำกัดความเสียหายที่อาจเกิดขึ้น และฟื้นฟู
ระบบและการให้บริการโดยเร็วที่สุดซึ่งจะยกระดับการด�ำเนิน
การขึ้นเป็นขั้นตอนการรับมือและจัดการภัยคุกคามในระดับ
ประเทศ (National Incident Response Flow) ในปี 2556
ไทยเซิร์ตได้ด�ำเนินการรับมือและจัดการสถานการณ์ด้าน
ความมั่นคงปลอดภัยไปแล้ว 1,745 กรณี แบ่งเป็นประเภท
การฉ้อฉล (Fraud) สูงสุดคิดเป็นร้อยละ 39.77 การบุกรุก
หรือเจาะระบบได้ส�ำเร็จ (Intrusions) ร้อยละ 36.16 และ
ความพยายามจะบุกรุกเข้าระบบ (Intrusion Attempts)
ร้อยละ 18.11 ในจ�ำนวนนี้รวมถึงการให้ค�ำปรึกษาแก่หน่วย
งานของรัฐที่ถูกเจาะระบบเว็บไซต์เพื่อแก้ไขปัญหา นอกจาก
นี้ในช่วงเหตุการณ์ไม่ปกติทางการเมืองในปลายปี 2556
ไทยเซิร์ตได้ให้ความช่วยเหลือในการส�ำรองข้อมูล และจัดหา
สถานที่ส�ำหรับติดตั้งระบบให้แก่หน่วยงานของรัฐส�ำคัญหลาย
แห่งที่ถูกปิดล้อมและไม่สามารถท�ำงานได้ตามปกติด้วย

33. 33
บริการวิชาการ
ด้านความมั่นคงปลอดภัย
ไทยเซิร์ตให้ความส�ำคัญกับการพัฒนาบุคลากรเพื่อเสริม
สร้างทักษะในด้านการรักษาความมั่นคงปลอดภัย ในปัจจุบัน
ไทยเซิร์ตถือเป็นหนึ่งในองค์กรที่มีจ�ำนวนผู้เชี่ยวชาญด้าน
ความมั่นคงปลอดภัยที่สูงมากที่สุดแห่งหนึ่งของประเทศได้รับ
ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ใน
ระดับสากล32ใบจากสถาบันที่ได้รับยอมรับในระดับสากลเช่น
ISC2
, SANS, EC-Council และ IRCA เป็นต้น ซึ่งเจ้าหน้าที่
ของไทยเซิร์ตได้น�ำเอาความรู้และประสบการณ์ด้านความ
มั่นคงปลอดภัยมาถ่ายทอดผ่านกิจกรรมบรรยายสัมมนาและ
อบรมความรู้ให้กับบุคลากรหน่วยงานภายในประเทศ รวมถึง
ได้จัดกิจกรรมซักซ้อมรับมือภัยคุกคามร่วมให้กับหน่วยงาน
ภาครัฐที่ส�ำคัญและภาคการเงินการธนาคารเป็นประจ�ำทุก
ปี อย่างน้อยปีละ 1 ครั้ง นอกจากนี้ยังได้ร่วมมือกับสมาคม
ความมั่นคงปลอดภัยระบบสารสนเทศหรือ TISA (Thailand
Information Security Association) จัดฝึกอบรมและสอบ
วัดระดับเพื่อพัฒนามาตรฐานการรับรองบุคลากรด้านความ
มั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย และให้การ
รับรองผู้ที่สอบประเมินผ่านเกณฑ์การรับรองอีก 20 คนในปี
แรก (2556)

34. 34
บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสาร
ด้านความมั่นคงปลอดภัย
ไทยเซิร์ตติดตามภัยคุกคามด้านสารสนเทศจากเครือข่าย
CERT ทั่วโลก รวมถึงแหล่งข่าวอื่น ๆ และน�ำข้อมูลมาตรวจ
สอบและวิเคราะห์ผลกระทบก่อนที่จะประกาศแจ้งเตือนภัย
ล่วงหน้า เพื่อให้หน่วยงานและประชาชนตระหนักและพร้อม
ที่จะรับมือกับเหตุการณ์ภัยคุกคามที่อาจเกิดขึ้น ผลงานใน
รอบปี ได้แก่ (1) รายงานประจ�ำปีไทยเซิร์ต ที่รวบรวมและ
วิเคราะห์สถิติทั้งปีกับกรณีศึกษาภัยคุกคามที่น่าสนใจ (2)
หนังสือ Cyber Threat Alerts 2013 ซึ่งแจ้งเตือนภัยคุกคาม
ที่่ส่งผลกระทบเป็นวงกว้างต่อผู้ใช้งานในประเทศ (3) หนังสือ
ThaiCERT Security Articles 2013 ซึ่งเป็นการรวมบทความ
ด้านความมั่นคงปลอดภัยด้านสารสนเทศ (4) ข้อมูลเชิงสถิติ
ภัยคุกคามที่ไทยเซิร์ตประสานงานรับมือและจัดการภัยคุกคาม
ในแต่ละเดือน (5) เว็บไซต์ของไทยเซิร์ต ยังให้บริการเผยแพร่
ข้อมูลข่าวสารด้านความมั่นคงปลอดภัยทางออนไลน์การแจ้ง
เตือนภัยคุกคามต่าง ๆ ที่มีผลกระทบต่อผู้ใช้ในประเทศไทย
จ�ำนวนกว่า 50 เรื่อง เช่น การแจ้งเตือน ระวังภัย เว็บไซต์
ส�ำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอก
ให้ดาวน์โหลดแอนตี้ไวรัสปลอม การแจ้งเตือน ระวังภัย ATM
Skimmer และข้อควรระวังในการใช้งานตู้ ATM และการแจ้ง
เตือนช่องโหว่ของแอปพลิเคชัน LINE

35. 35
บริการตรวจพิสูจน์
พยานหลักฐานดิจิทัล
ศูนย์ดิจิทัลฟอเรนสิกส์ของไทยเซิร์ตให้บริการตรวจพิสูจน์
พยานหลักฐานที่สอดคล้องกับมาตรฐานสากลและรองรับการก้าว
ไปสู่ e-Court ในอนาคต ทั้งนี้เพื่อให้สามารถน�ำรายงานผลการ
ตรวจพิสูจน์ฯไปใช้อ้างอิงในศาลได้อย่างมั่นใจมีผู้เชี่ยวชาญที่ได้
รับประกาศนียบัตรจากสถาบันที่ได้รับการยอมรับทั่วโลก ในปี
2556 ให้บริการรวมจ�ำนวนทั้งสิ้น 11 กรณี จากหน่วยงาน เช่น
ส�ำนักงานต�ำรวจแห่งชาติ กองบังคับการปราบปรามการกระ
ท�ำความผิดเกี่ยวกับเทคโนโลยี(ปอท.)กองบังคับการปราบปรามการ
กระท�ำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจ(ปอศ.)และ
ส�ำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
รวมปริมาณข้อมูลที่ตรวจพิสูจน์14เทราไบต์ประเภทของพยาน
หลักฐานดิจิทัลที่ได้รับมามีหลายรูปแบบเช่นเครื่องคอมพิวเตอร์
ตั้งโต๊ะโทรศัพท์มือถือไฟล์อิมเมจของเครื่องแม่ข่ายฮาร์ดดิสก์ที่
ถอดมาจากเครื่องคอมพิวเตอร์ผู้ต้องสงสัยหรือแม้แต่การไปเก็บ
พยานหลักฐานจากสถานที่เกิดเหตุเพื่อวิเคราะห์หาร่องรอยและ
ที่มาของผู้เจาะระบบค้นหาพยานหลักฐานการกระท�ำผิดละเมิด
ทรัพย์สินทางปัญญา ในหลายกรณีต้องใช้เทคนิคและเครื่องมือ
ที่มีความซับซ้อนมาช่วยตรวจวิเคราะห์และหาความเชื่อมโยง
ของพยานหลักฐานที่ตรวจพบ เช่น การอ่านข้อมูลจากชิปหน่วย
ความจ�ำของโทรศัพท์มือถือโดยตรง การตรวจสอบพฤติกรรม
ของมัลแวร์ในระบบจ�ำลองภายในห้องปฏิบัติการ เป็นต้น

36. 36
บริการตรวจสอบและประเมิน
ช่องโหว่ของระบบสารสนเทศ
การตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ
อย่างสม�่ำเสมอโดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย
ช่วยให้หน่วยงานรู้สภาพของปัญหาและช่องโหว่ของระบบ
สารสนเทศ และเป็นข้อมูลส�ำคัญประกอบการวางแผนและ
จัดท�ำแผนบริหารจัดการความเสี่ยง (Risk Management
Plan: RMP) และแผนบริหารจัดการความต่อเนื่องทางธุรกิจ
(Business Continuity Management: BCM) ของหน่วย
งาน ในปี 2556 ไทยเซิร์ตได้เปิดให้บริการตรวจสอบและ
ประเมินช่องโหว่ (Vulnerability Assessment) ของ
ระบบสารสนเทศให้แก่ส่วนราชการที่เป็นโครงสร้างพื้นฐาน
ส�ำคัญของประเทศไทยจ�ำนวน 28 แห่งใน 2 ลักษณะ ได้แก่
(1) การตรวจสอบและประเมินช่องโหว่ในระดับระบบปฏิบัติ
การและบริการ และ (2) การตรวจสอบช่องโหว่บนเว็บแอป
พลิเคชัน ผลพบว่ามีถึง 1,089 ช่องโหว่ที่ต้องได้รับการแก้ไข
ซึ่งไทยเซิร์ตร่วมกับส�ำนักมาตรฐาน สพธอ. อยู่ระหว่างการจัด
ท�ำร่างเอกสารมาตรฐานการรักษาความมั่นคงปลอดภัยของ
เว็บไซต์ เพื่อให้หน่วยงานในประเทศเป็นแนวทางส�ำหรับการ
บริหารจัดการและพัฒนาเว็บไซต์ให้มีความมั่นคงปลอดภัย

38. 38
รายงาน THREAT & CYBERSECURITY ปี 2556
บทที่ 3

39. 39
ในปี 2556 พบว่าภัย
คุกคามประเภท Botnet
และ Open DNS
Resolver มีจำ�นวน
หมายเลขไอพีที่ไม่ซ้ำ�กัน�
และเกี่ยวข้องกับภัยคุกคาม
ทั้ง 2 ประเภทนี้สูงขึ้น�
ประมาณ 10 เท่าตัว
3.1 ภัยคุกคาม�
ที่ไทยเซิร์ตได้รับแจ้ง
ไทยเซิร์ตได้รับแจ้งเหตุภัยคุกคามที่เกิดขึ้น
ในขอบเขตการด�ำเนินงาน (Constituency)
ของไทยเซิร์ต ครอบคลุมระบบเครือข่าย
อินเทอร์เน็ตภายในประเทศไทย และระบบ
คอมพิวเตอร์ภายใต้โดเมนเนมของประเทศไทย
(.th) ผ่าน 2 ช่องทาง ประกอบด้วย ผู้เสียหาย
หรือผู้ที่มีส่วนได้ส่วนเสีย เช่น หน่วยงานของ
เครือข่าย CERT ในต่างประเทศ หรือหน่วย
งานผู้ให้บริการการรักษาความมั่นคงปลอดภัย
สารสนเทศกับผู้เสียหาย แจ้งเหตุภัยคุกคาม
โดยตรงกับไทยเซิร์ตผ่านทางอีเมลหรือโทรศัพท์
และหน่วยงานในเครือข่าย CERT ส่งข้อมูลภัย
คุกคามที่ตรวจพบในขอบเขตการด�ำเนินงาน
ของไทยเซิร์ตให้ผ่านระบบอัตโนมัติ ซึ่งในปี
2556 ไทยเซิร์ต ได้รับแจ้งเหตุภัยคุกคามผ่าน
ระบบอัตโนมัติ (Automatic Feed) เพิ่มเติม
จากปี 2555 ประกอบด้วย ข้อมูลภัยคุกคาม
Botnet และรายการระบบเว็บไซต์ที่ถูกเจาะ
ระบบส�ำเร็จ ท�ำให้ไทยเซิร์ตสามารถวิเคราะห์
ข้อมูลเกี่ยวกับสถานการณ์ภัยคุกคามของระบบ
เครือข่ายอินเทอร์เน็ตภายในประเทศไทย ได้
ครอบคลุมและแม่นย�ำมากขึ้น ซึ่งข้อมูลที่
ได้รับแจ้งทั้งหมด ไทยเซิร์ตจะด�ำเนินการ
วิเคราะห์ เพื่อยืนยันว่าเหตุภัยคุกคามที่ได้รับ
แจ้งได้เกิดขึ้นจริงหรือยืนยันว่าเหตุภัยคุกคาม
ได้รับแจ้งจากแหล่งข้อมูลที่น่าเชื่อถือ ก่อนจะ
ประสานไปยังผู้ที่เกี่ยวข้องเพื่อให้ด�ำเนินการแก้
ปัญหาภัยคุกคามที่ได้รับแจ้งข้างต้น อีกทั้งยัง
น�ำข้อมูลสถานการณ์ด้านความมั่นคงปลอดภัย
ที่ได้รับแจ้งทั้งหมดในปี 2556 มาวิเคราะห์
แนวโน้มภัยคุกคามด้านสารสนเทศที่เกิดขึ้นและ
จัดท�ำบทวิเคราะห์สถิติสถานการณ์ด้านความ
มั่นคงปลอดภัยคอมพิวเตอร์ ในภาพรวมของ
ประเทศไทย ซึ่งสามารถน�ำสรุปประเด็นที่น่า
สนใจได้ ดังนี้
• รายงานภัยคุกคามที่ได้รับมากที่สุด
ผ่านระบบอัตโนมัติ เป็นภัยคุกคามประเภท
Botnet โดยมีจ�ำนวนถึง 41,046,337 รายการ
คิดเป็นหมายเลขไอพีที่ไม่ซ�้ำกันถึง 2,829,348
หมายเลขรองลงมาคือOpenDNSResolver
และ Spam มีจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำกัน
1,695,783 และ 848,976 หมายเลข ตาม
ล�ำดับ
• เมื่อเปรียบเทียบกับข้อมูลในปี2555
พบว่าภัยคุกคามประเภท Botnet และ Open
DNS Resolver มีจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
กันและเกี่ยวข้องกับภัยคุกคามทั้ง 2 ประเภท
นี้สูงขึ้นอย่างมีนัยส�ำคัญ (สูงขึ้นประมาณ 10

40. 40
เท่าตัว)ชี้ให้เห็นถึงเครื่องคอมพิวเตอร์ในระดับ
ผู้ใช้งานในประเทศไทย ที่ยังคงเป็นจุดอ่อน
และเป็นเป้าหมายหลักของการโจมตีด้วยมัลแวร์
รวมถึงปัญหาการตั้งค่าให้บริการ DNS ซึ่งมีอยู่
เป็นจ�ำนวนมาก
• ในปี 2556 ประเทศไทยมีจ�ำนวน
เครื่องคอมพิวเตอร์ที่ตรวจพบว่าตกเป็นเหยื่อ
ของการติดมัลแวร์ประเภท Botnet เฉลี่ย
อยู่ที่ 60,000 เครื่องต่อวัน โดยในวันที่ได้รับ
รายงานมากที่สุด (11 เม.ย. 2556) พบเครื่อง
ติดมัลแวร์ประเภท Botnet อยู่ประมาณ
100,000 เครื่อง โดยปัจจุบัน ไทยเซิร์ต ได้
ส่งข้อมูลเครื่องที่ตรวจพบว่าติดมัลแวร์ให้กับ
ผู้ให้บริการอินเทอร์เน็ตรายที่พบว่า มีเครื่อง
ติดมัลแวร์จ�ำนวนมากในเครือข่ายเป็นรายวันรวม
ถึงได้ให้ค�ำปรึกษาวิธีการแก้ไขปัญหาดังกล่าว
• จาก 10 อันดับแรกของผู้ให้บริการ
อินเทอร์เน็ตที่เป็นเจ้าของหมายเลขไอพี ที่
ได้รับแจ้งภัยคุกคามที่เกิดขึ้นในเครือข่ายสูง
ที่สุด พบว่าใน 4 อันดับแรก ได้แก่ TOT, True
Internet, Triple T Broadband และ Jastel
Network มีจ�ำนวนหมายเลขไอพีที่ได้รับการ
แจ้งรวมกันเป็นสัดส่วนสูงถึง 91%
• เมื่อพิจารณาภัยคุกคามที่เกี่ยวกับ
การบุกรุกเว็บไซต์ ซึ่งได้แก่ Phishing, Web
Defacement และ Malware URL พบว่ามี
เครื่องคอมพิวเตอร์ที่ให้บริการเว็บไซต์ถูกบุกรุก
ประมาณ3,000เครื่องโดยมากกว่าร้อยละ50
เป็นการบุกรุกในลักษณะ Web Defacement
ในขณะที่เว็บที่เผยแพร่มัลแวร์ (Malware
URL) มีจ�ำนวนกว่า 12,000 รายการ แสดง
ให้เห็นว่าจุดประสงค์ของผู้โจมตีไม่ได้ต้องการ
เพียงแค่ประกาศตัวว่าสามารถเจาะเว็บไซต์ได้
แต่มีจุดประสงค์ที่จะให้ผู้ใช้งานติดมัลแวร์เพื่อ
แสวงหาผลประโยชน์ในด้านอื่น ๆ ด้วย
• ในปี 2556 ไทยเซิร์ตได้รับมือและ
จัดการภัยคุกคามทั้งหมด 1,745 รายงาน
เพิ่มขึ้นมาประมาณ 2 เท่าจากปีก่อนหน้าที่
มีเพียง 792 รายงาน โดยประเภทภัยคุกคาม
ส่วนใหญ่คือ Phishing 694 รายงาน และ
Web Defacement 631 รายงาน รวมกัน
เป็นสัดส่วนกว่า 76% ของจ�ำนวนรายงาน
ทั้งหมด ซึ่งรายงาน Web Defacement เพิ่ม
ขึ้นจากปีที่แล้วกว่า 98% เนื่องจาก ไทยเซิร์ต
มีการรวบรวมข้อมูลการเจาะระบบเว็บไซต์ใน
ประเทศไทยจากหน่วยงานในเครือข่าย CERT
เพิ่มขึ้นจากช่องทางการรับแจ้งจากหน่วยงาน
ที่ได้รับผลกระทบเพียงอย่างเดียว
ผู้โจมตีไม่ได้ต้องการเพียงแค่
ประกาศตัวว่าสามารถเจาะ
เว็บไซต์ได้ แต่มีจุดประสงค์�
ที่จะให้ผู้ใช้งานติดมัลแวร์�
เพื่อแสวงหาผลประโยชน์�
ในด้านอื่น ๆ ด้วย

41. 41
3.1.1 สถิติภัยคุกคาม
ด้านสารสนเทศที่ได้รับ
แจ้งผ่านระบบอัตโนมัติ
จากการศึกษาข้อมูลจ�ำนวนผู้ที่ได้รับ
ผลกระทบจากภัยคุกคามประเภทต่าง ๆ โดย
นับจากหมายเลขไอพีที่ได้รับแจ้งในช่วงทุกครึ่ง
ปี พบจุดที่น่าสนใจคือ จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำของ Botnet ในครึ่งแรกของปี 2556
เพิ่มขึ้นจากช่วงเวลาก่อนหน้าถึง 8 เท่า และ
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำของ Open DNS
Resolver ในครึ่งหลังของปี 2556 เพิ่มขึ้น
จากช่วงเวลาก่อนหน้าถึง 9 เท่า เนื่องจาก
ไทยเซิร์ตเริ่มได้รับข้อมูลประเภทBotnetจาก
ShadowServer ในเดือนมกราคม 2556 และ
เริ่มได้รับข้อมูลประเภทOpenDNSResolver
จาก ShadowServer ในเดือนสิงหาคม 2556
สัดสวน (รอยละ)
ก.ค. - ธ.ค. 2555 ม.ค. - มิ.ย. 2556 ก.ค. - ธ.ค. 2556
Botnet
Open DNS Resolver
Spam
Scanning
Open Proxy Server
Web Defacement
Malware URL
Phishing
Brute Force
DDoS
0 20 40 60 80 100
กราฟที่ 1 จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี

42. 42
True Internet: 2,249,472
TOT: 1,355,520
Jastel Network: 1,094,656
Triple T Broadband: 1,069,056
TT&T: 403,456
CAT Telecom: 308,224
DTAC: 266,240
SBN: 207,616
AWN: 102,400
Real Move: 65,536
True Internet: 2,249,472
TOT: 1,355,520
Jastel Network: 1,094,656
Triple T Broadband: 1,069,056
TT&T: 403,456
CAT Telecom: 308,224
DTAC: 266,240
SBN: 207,616
AWN: 102,400
Real Move: 65,536
จากกราฟที่ 2 พบว่า ผู้ให้บริการอินเทอร์เน็ตที่พบกับปัญหาด้านความมั่นคงปลอดภัย
มากที่สุดคือ TOT ซึ่งมีจ�ำนวนรายงานคิดเป็นสัดส่วนถึง 30% รองลงมาคือ True Internet
(22%) Triple T Broadband (21%) และ Jastel Network (20%) โดยจ�ำนวนรายงานจาก
บริษัททั้ง 4 รายนี้สามารถคิดเป็นสัดส่วนรวมกันได้ถึง 93% ของจ�ำนวนรายงานทั้งหมด และ
ยังจัดอยู่ในกลุ่มของโครงข่ายเครื่องคอมพิวเตอร์ทั้งสิ้น ในขณะที่บริษัทที่มีโครงข่ายโทรศัพท์
มือถืออย่าง Real Move, DTAC และ Advanced Wireless Network นั้น แม้จะติดอยู่ใน 10
อันดับแรกด้วย แต่มีสัดส่วนของจ�ำนวนรายงานรวมกันอยู่เพียง 4% เท่านั้น ในขณะที่กราฟที่
3 เป็นการแสดงจ�ำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุ
ภัยคุกคามสูงสุด เมื่อนับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจ�ำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด
นับเฉพาะหมายเลขไอพีที่ไม่ซ�้ำ
กราฟที่ 3 จ�ำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด
นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ

43. 43
จากสถิติภัยคุกคามเมื่อจ�ำแนกตามผู้ให้บริการ
อินเทอร์เน็ต พบว่าในบรรดาผู้ให้บริการ 4 อันดับ
แรกที่มีจ�ำนวนหมายเลขไอพีที่ได้รับแจ้งสูงที่สุดนั้น
มีรายงานภัยคุกคามประเภท Botnet เป็นสัดส่วน
สูงสุด รองลงมาเป็น Open DNS Resolver และ
Spamตามล�ำดับในขณะที่ผู้ให้บริการที่มีโครงข่าย
โทรศัพท์มือถือส่วนใหญ่จะพบรายงานภัยคุกคาม
ประเภท Spam กับ Botnet เป็นส่วนใหญ่ โดย
เฉพาะ Real Move และ Advanced Wireless
Network ที่มีรายงานที่ได้รับแจ้งเป็นภัยคุกคาม
ประเภท Botnet ทั้งหมด ทั้งนี้เมื่อนับจ�ำนวน
รายงานของภัยคุกคามประเภท Botnet, Open
DNS Resolver และ Spam รวมกันแล้ว พบว่า
มีมากกว่า 90% ของจ�ำนวนรายงานทั้งหมดใน
แต่ละผู้ให้บริการเครือข่าย
Botnet Open DNS Resolver Spam (Other)
TOT
True Internet
Triple T Broadband
Jastel Network
CAT Telecom
SBN
Real Move
AWN
DTAC
TT&T
0 20 40 60 80 100
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง

44. 44
Open DNS resolver
TOT: 42.2%
True Internet: 38.4%
Jastel Network: 9.1%
Triple T Broadband: 5.7%
CAT Telecom: 3.2%
ADC: 0.2%
CS Loxinfo: 0.2%
KSC: 0.1%
MoE: 0.1%
TT&T: 0.1%
(Other): 0.6%
Botnet
TOT: 30.8%
True Internet: 21.4%
Triple T Broadband: 20.4%
Jastel Network: 19.1%
CAT Telecom: 1.9%
SBN: 1.5%
Real Move: 1.1%
AWN: 0.9%
DTAC: 0.8%
TT&T: 0.4%
(Other): 1.8%
Scanning
True Internet: 29.9%
Triple T Broadband: 26.8%
TOT: 21.8%
Jastel Network: 15.0%
CAT Telecom: 1.4%
CS Loxinfo: 0.9%
MoE: 0.7%
UniNet: 0.5%
BB Broadband: 0.3%
DTAC: 0.2%
(Other): 2.4%:
Brute Force
True Internet: 24.6%
TOT: 18.9%
CAT Telecom: 10.7%
Triple T Broadband: 9.5%
MoE: 6.6%
UniNet: 6.3%
Jastel Network: 5.0%
CS Loxinfo: 2.5%
INET: 1.9%
KMUTNB: 0.9%
(Other): 12.9%
Spam
TOT: 62.1%
Triple T Broadband: 15.8%
True Internet: 14.1%
SBN: 2.7%
DTAC: 1.7%
Jastel Network: 1.0%
ADC: 0.4%
UniNet: 0.4%
PROEN: 0.4%
CAT Telecom: 0.2%
(Other): 1.1%
Open proxy server
Triple T Broadband: 43.8%
Jastel Network: 27.1%
CAT Telecom: 14.0%
TOT: 10.8%
True Internet: 2.3%
SBN: 0.7%
MoE: 0.4%
UniNet: 0.2%
CS Loxinfo: 0.1%
Chiang Mai U.: 0.1%
(Other): 0.5%
Malware URL
CAT Telecom: 35.0%
CS Loxinfo: 15.2%
MoE: 6.2%
INET: 5.7%
Metrabyte: 4.8%
UniNet: 3.2%
World Net & Services: 2.7%
ISSP: 2.6%
PROEN: 2.5%
Triple T Broadband: 2.3%
(Other): 19.8%
Phishing
CAT Telecom: 26.7%
TOT: 14.7%
CS Loxinfo: 13.1%
MoE: 5.9%
Metrabyte: 5.1%
INET: 4.7%
UniNet: 3.8%
True Internet: 2.1%
ISSP: 2.0%
Siamdata Communication: 2.0%
(Other): 19.8%
Web defacement
CAT Telecom: 29.9%
CS Loxinfo: 13.9%
MoE: 6.4%
INET: 5.5%
UniNet: 5.4%
Metrabyte: 4.4%
World Net & Services: 2.3%
True Internet: 2.2%
TOT: 2.1%
ISSP: 1.9%
(Other): 26.0%
ชุดกราฟที่ 1 สัดส่วนจ�ำนวนหมายเลขไอพีไม่ซ�้ำของเครือข่ายต่าง ๆ จ�ำแนกตามประเภทภัยคุกคาม

45. 45
จุดที่น่าสังเกตคือมี�
เครือข่ายของภาคการศึกษา
ได้แก่ MoE (กระทรวง
ศึกษาธิการ) และ UniNet
(เครือข่ายสารสนเทศเพื่อ
พัฒนาการศึกษา) ติดอยู่
ใน 10 อันดับแรกของแหล่ง
เกิดเหตุภัยคุกคามประเภท
Phishing และ Web
Defacement ด้วย
เมื่อพิจารณาสัดส่วนจ�ำนวนหมายเลขไอพี
ไม่ซ�้ำของเครือข่ายต่าง ๆ จ�ำแนกตามประเภท
ภัยคุกคามแล้วกลุ่มบริษัทที่ติดอันดับต้นๆส่วน
ใหญ่แล้วจะเป็นผู้ให้บริการเครือข่ายรายใหญ่
เช่น TOT, True และ Triple T Broadband
ซึ่งไม่น่าแปลกใจเนื่องจากผู้ให้บริการเหล่านี้มี
หมายเลขไอพีอยู่ในการครอบครองเป็นจ�ำนวน
มากแต่มีจุดที่น่าสังเกตคือมีเครือข่ายของภาค
การศึกษา ได้แก่ MoE (กระทรวงศึกษาธิการ)
และ UniNet (เครือข่ายสารสนเทศเพื่อ
พัฒนาการศึกษา) ติดอยู่ใน 10 อันดับแรกของ
แหล่งเกิดเหตุภัยคุกคามประเภท Phishing
และ Web Defacement ด้วย
อีกประเด็นหนึ่งที่สังเกตเห็นได้ชัดก็คือผู้ให้
บริการอินเทอร์เน็ต บริษัท กสท โทรคมนาคม
จ�ำกัด (มหาชน) หรือ CAT Telecom ซึ่งครอบ
ครองจ�ำนวนหมายเลขไอพี เพียง 308,224
หมายเลข แต่กลับได้รับผลกระทบจากปัญหา
ภัยคุกคามใกล้เคียงกับกลุ่มบริษัทที่มีหมายเลข
ไอพีจ�ำนวนมากเป็นอันดับต้น ๆ โดยเฉพาะ
อย่างยิ่งในภัยคุกคามประเภทMalwareURL,
Phishing และ Web Defacement ที่ CAT
Telecom มีจ�ำนวนหมายเลขไอพีที่ได้รับแจ้ง
เป็นอันดับหนึ่ง นอกจากนี้ เครือข่ายของ CAT
Telecomยังประสบปัญหาภัยคุกคามประเภท
Open proxy Server มากกว่า TOT ทั้งที่มี
หมายเลขไอพีน้อยกว่าถึง 4 เท่า โดยสาเหตุ
นั้นสันนิษฐานว่าเกิดจากรูปแบบการให้บริการ
ของ CAT Telecom ที่ส่วนใหญ่จะเปิดให้
บริการส�ำหรับองค์กร สอดคล้องกับลักษณะ
ของประเภทภัยคุกคามที่กล่าวมาข้างต้น ที่
จะเกิดเฉพาะกับเครื่องแม่ข่าย
ภัยคุกคามเกือบทุกประเภทจะมีการ
แจ้งรายงานกระจายไปยังบริษัทหลายแห่ง
ในสัดส่วนที่แตกต่างกันไป ยกเว้นภัยคุกคาม
ประเภท Spam เท่านั้นที่มีสัดส่วนการแจ้ง
รายงานเกิดขึ้นกับผู้ให้บริการอินเทอร์เน็ตเพียง
รายเดียวมากกว่าครึ่งหนึ่ง ซึ่งก็คือ TOT ที่มี
สัดส่วนสูงถึง 62%

46. 46
Conficker: 46.2%
Zeus: 13.5%
ZeroAccess: 11.8%
Sality: 11.6%
Pushdo: 7.6%
Citadel: 5.8%
Slenfbot: 1.5%
Gameover: 0.6%
Kelihos: 0.3%
Dorkbot: 0.2%
(Other): 0.9%
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง
3.1.1.1 Botnet
ตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก
2551
ปที่เริ่มพบ
ความสามารถ
DoS สง Spam ขโมยขอมูล ติดตั้งมัลแวรอื่น อื่น ๆ
มัลแวร
2550
2554
2546
2550
2554
2550
2554
2553
2546
Conficker
Zeus
ZeroAccess
Sality
Pushdo
Citadel
Slenfbot
Gameover
Kelihos
Dorkbot

47. 47
ความสามารถของมัลแวร์ที่จ�ำแนกไว้ในตารางข้างต้นนั้น
แบ่งออกเป็น 5 หัวข้อ โดยมีรายละเอียดดังต่อไปนี้
1. ความสามารถในการโจมตีแบบดอส (DoS) ตัวอย่าง
เช่น Pushdo สามารถโจมตีเว็บไซต์ที่ใช้ SSL โดยใช้
วิธีส่งข้อมูลที่ผิดปกติเข้าไปจ�ำนวนมาก ท�ำให้เครื่อง
บริการเว็บต้องท�ำงานหนักจนไม่สามารถให้บริการได้
2. ความสามารถในการเป็นเครื่องมือส่งสแปม (Spam)
ตัวอย่างเช่น Kelihos ที่แพร่กระจายในปี 2011 ถูกผู้
ไม่หวังดีใช้เป็นเครื่องมือในการส่งสแปมเกี่ยวกับการ
เคลื่อนไหวทางการเมืองในยุโรป เป็นต้น
3. ความสามารถในการขโมยข้อมูลต่าง ๆ (โจรกรรม
ข้อมูล) ที่เก็บไว้ในเครื่องคอมพิวเตอร์แล้วส่งกลับไป
ให้กับผู้ไม่หวังดี รวมถึงการลักลอบบันทึกประวัติการ
กดแป้นพิมพ์ที่เรียกกันว่า Key Logging ตัวอย่างที่
เป็นที่รู้จักคือZeusซึ่งถือว่าเป็นBankingMalware
เพราะมีพฤติกรรมขโมยชื่อผู้ใช้และรหัสผ่านของ
บริการธนาคารออนไลน์เป็นหลัก
4. ความสามารถในการติดตั้งมัลแวร์อื่น ๆ ซึ่งเรียก
พฤติกรรมนี้ว่า Dropper เช่น Pushdo ที่มีการ
รายงานว่า มีการใช้เป็นเครื่องมือเพื่อติดตั้งมัลแวร์
Cutwail ซึ่งมีพฤติกรรมในการส่งสแปม
5. ความสามารถอื่น ๆ ที่ไม่สอดคล้องกับ 4 กลุ่มข้างต้น
เช่น การปิด Windows Update หรือรบกวนการ
ท�ำงานของโปรแกรมแอนตี้ไวรัส ตัวอย่างของมัลแวร์
ที่มีพฤติกรรม เช่น นี้ได้แก่ Sality ที่สามารถปิดการ
ท�ำงานของ Windows Firewall เป็นต้น
ส�ำหรับภัยคุกคามประเภท Botnet ซึ่ง 97% ของรายงาน
มีระบุชื่อมัลแวร์นั้น พบว่ามัลแวร์ที่ได้รับแจ้งมากที่สุดคือ
Confickerกว่า46%รองลงมาคือZeus(14%),ZeroAccess
(12%), Sality (12%) และ Pushdo (8%) ซึ่งใน 5 อันดับแรก
นี้นอกจาก ZeroAccess ที่ถูกค้นพบครั้งแรกเมื่อปี 2554 แล้ว
มัลแวร์ตัวอื่น ๆ นั้นล้วนเป็นมัลแวร์ที่ถูกค้นพบมาเป็นเวลา
นานมากกว่า 5 ปีขึ้นไปทั้งสิ้น โดยเฉพาะ Conficker ที่ทาง
Microsoft ได้ออกประกาศแจ้งเตือน รวมถึงออกแพทช์และ
วิธีแก้ไขช่องโหว่ที่มัลแวร์ใช้ในการโจมตีมาตั้งแต่ปี 25511
ซึ่ง
1 Microsoft, https://technet.microsoft.com/en-us/library/
security/ms08-067.aspx
เป็นไปได้ว่า เครื่องคอมพิวเตอร์อาจติดมัลแวร์เหล่านี้มาเป็น
เวลานานแล้ว หรือระบบยังคงมีช่องโหว่เก่า ๆ ที่เคยไม่ได้
รับการแก้ไข จึงเป็นช่องทางให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์
เก่าหรือใหม่ สามารถเข้ามาโจมตีระบบได้ ซึ่งแสดงให้เห็นว่า
ประเทศไทยมีเครื่องคอมพิวเตอร์จ�ำนวนมากที่ยังขาดการดูแล
รักษาด้านความมั่นคงปลอดภัย
เครื่องคอมพิวเตอร์ยังคงมีช่องโหว่
เก่า ๆ ที่ไม่ได้รับการแก้ไข เปิดโอกาส
ให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์เก่า
หรือใหม่สามารถเข้ามาโจมตีระบบได้
แสดงให้เห็นว่าประเทศไทยมีเครื่อง
คอมพิวเตอร์จำ�นวนมากที่ยังขาดการ
ดูแลรักษาด้านความมั่นคงปลอดภัย