2013 ThaiCERT ANNUAL REPORT รายงานประจำปีไทยเซิร์ต 2556

1. 1

3. 2013 ThaiCERT
ANNUAL REPORT
รายงานประจำ�ปีไทยเซิร์ต 2556

4. ชื่อเรื่อง : รายงานประจ�ำปีไทยเซิร์ต 2556 (2013 ThaiCERT ANNUAL REPORT)
เรียบเรียงโดย : สุรางคณา วายุภาพ, ชัยชนะ มิตรพันธ์, สรณันท์ จิวะสุรัตน์, ธงชัย แสงศิริ
พรพรหม ประภากิตติกุล, ธงชัย ศิลปวรางกูร, ณัฐโชติ ตุสิตานนท์ และทีมไทยเซิร์ต
เลข ISBN : ISBN 978-616-91910-8-7
พิมพ์ครั้งที่ : 1 พฤศจิกายน 2557
พิมพ์จ�ำนวน : 1,000 เล่ม
ราคา : 300 บาท
สงวนลิขสิทธิ์ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537
จัดพิมพ์และเผยแพร่โดย :
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย
(Thailand Computer Emergency Response Team)
ส�ำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
อาคารเดอะ ไนน์ ทาวเวอร์ แกรนด์ พระรามเก้า (อาคารบี) ชั้น 21 เลขที่ 33/4
ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310
โทรศัพท์ : 0 2123 1234 | โทรสาร : 0 2123 1200
อีเมล : office@thaicert.or.th
เว็บไซต์ไทยเซิร์ต : www.thaicert.or.th
เว็บไซต์ สพธอ. : www.etda.or.th
เว็บไซต์กระทรวงไอซีที : www.mict.go.th

5. 5

6. สารจากผู้กำ�หนดทิศทาง “ไทยเซิร์ต”

7. ในขณะที่โลกกำ�ลังมุ่งสู่ยุคที่คนและเทคโนโลยีต้อง
เกี่ยวพันกัน 24x7 และประเทศไทยมีผู้ใช้อินเทอร์เน็ต
เกือบ 30% ของประชากร ประเทศจำ�เป็นต้องวาง
โครงสร้างการบริหารจัดการความมั่นคงปลอดภัย
ไซเบอร์ของประเทศที่มีความชัดเจน ในบทบาทหน้าที่
“ไทยเซิร์ต” ภายใต้การกำ�กับดูแลของ สพธอ. ถือเป็น
กำ�ลังสำ�คัญที่พร้อมให้ความช่วยเหลือดูแลงาน
ความมั่นคงปลอดภัยไซเบอร์ที่สำ�คัญนี้
พรชัย รุจิประภา
รัฐมนตรีว่าการกระทรวงไอซีที

8. บทบาทของกระทรวงไอซีทีที่จะต้องส่งเสริมการพัฒนา
และการใช้เทคโนโลยีไซเบอร์ในการบริหารจัดการ
ประเทศเพียงอย่างเดียวอาจยังไม่เพียงพอ จำ�เป็นต้องมี
หน่วยงานกลางที่สามารถให้ความช่วยเหลือได้รวดเร็ว
ทันที แก้ปัญหาเฉพาะหน้าได้อย่างมีประสิทธิภาพ
ซึ่งดิฉันเชื่อมั่นว่า “ไทยเซิร์ต” พร้อมในบทบาทนี้
เมธินี เทพมณี
ปลัดกระทรวงไอซีที

9. ในระยะ 3 ปี ที่ผ่านมา “ไทยเซิร์ต” ภายใต้ สพธอ.
ได้มีส่วนดูแลและปกป้องธุรกรรมออนไลน์
ของประเทศไทย ซึ่งผมและกรรมการบริหาร สพธอ.
พร้อมผลักดันและสนับสนุนการทำ�งานของ
“ไทยเซิร์ต” ให้เข้มแข็งมากขึ้นและเป็นกำ�ลังสำ�คัญ
ในด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ
เพื่อพร้อมเข้าสู่ AEC2015
จรัมพร โชติกเสถียร
ประธานกรรมการบริหาร สพธอ.

10. ก้าวต่อไปในอนาคตของ Cybersecurity ไทย
จะต้องมีการผลักดันให้ประเทศมี National
Cybersecurity Governance โดย สพธอ.
จะยกระดับการทำ�งานของ “ไทยเซิร์ต” ให้เป็น
National CERT เพื่อให้ประเทศมีความพร้อม
ในการรับมือภัยคุกคามไซเบอร์ได้ทันท่วงที
สุรางคณา วายุภาพ�
ผอ.สพธอ.

11. 11

12. 12
CONTENTS | สารบัญ
สารจากผู้ก�ำหนดทิศทาง “ไทยเซิร์ต” 4
สารบัญ/ สารบัญตาราง/ สารบัญรูปภาพ/ สารบัญกราฟ 12
บทน�ำ 20
บทที่ 1 ผลงานเด่นและเหตุการณ์ส�ำคัญ ปี 2556 22
1.1 ThaiCERT 2013 Infographic 24
1.2 Key Event Timeline 2013 26
บทที่ 2 บริการของไทยเซิร์ต 30
2.1 บริการรับมือและจัดการสถานการณ์ด้านความมั่นคงปลอดภัย 32
2.2 บริการวิชาการด้านความมั่นคงปลอดภัย 33
2.3 บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสารด้านความมั่นคงปลอดภัย 34
2.4 บริการตรวจพิสูจน์พยานหลักฐานดิจิทัล 35
2.5 บริการตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ 36

13. 13
บทที่ 3 รายงาน Threat & Cybersecurity ปี 2556 38
3.1 ภัยคุกคามที่ไทยเซิร์ตได้รับแจ้ง 39
3.1.1 สถิติภัยคุกคามด้านสารสนเทศที่ได้รับแจ้งผ่านระบบอัตโนมัติ 41
3.1.2 สถิติภัยคุกคามที่ได้รับการประสานและจัดการโดยไทยเซิร์ต 59
3.2 ภัยคุกคามที่เป็นกรณีศึกษาที่ไทยเซิร์ตเข้าไปด�ำเนินการ 64
3.2.1 กรณีพบการโจมตีเว็บไซต์ที่ใช้ระบบบริหารจัดการเว็บไซต์ CMS ของไทย 65
3.2.2 กรณีแอปพลิเคชันธนาคารออนไลน์ปลอมในระบบปฏิบัติการแอนดรอยด์ 66
3.2.3 กรณีเว็บไซต์ส�ำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม 68
3.2.4 กรณีไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi 70
3.2.5 กรณี Web Defacement หน่วยงานส�ำคัญในประเทศ 72
3.2.6 กรณีการตรวจพิสูจน์พยานหลักฐานเครื่อง BitTorent Server 75
บทที่ 4 การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร์ 76
4.1 ประชุม อบรม สัมมนา และกิจกรรมอื่น ๆ 77
4.1.1 ประชุมและสัมมนาที่ไทยเซิร์ตเช้าร่วม 78
4.1.2 ศึกษาดูงาน 82
4.1.3 กิจกรรมที่ไทยเซิร์ตเป็นเจ้าภาพ 83
4.2 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ 88
4.3 ข้อตกลงความร่วมมือกับหน่วยงานทั้งในและต่างประเทศ 90

14. 14
บทที่ 5 รายงาน CERTs ของประเทศสมาชิกอาเซียน +3 94
บทที่ 6 ความท้าทายในบทบาท National CERT 104
ภาคผนวก
ภาคผนวก ก การจัดประเภทของเหตุภัยคุกคามด้านสารสนเทศ 110
ภาคผนวก ข อภิธานศัพท์และค�ำย่อ 114
ภาคผนวก ค ข้อมูลสถิติรายงานภัยคุกคามที่ได้รับแจ้งจากระบบอัตโนมัติ 118
ภาคผนวก ง รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC 136

15. 15
สารบัญตารางตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก 46
ตารางที่ 2 ค�ำอธิบายของหมายเลขพอร์ตที่ถูกสแกน 58
ตารางที่ 3 ข้อมูลการด�ำเนินการเหตุภัยคุกคามประเภท Fraud จ�ำแนกตามผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง 61
ตารางที่ 4 ข้อมูลการด�ำเนินการเหตุภัยคุกคามประเภท Fraud จ�ำแนกตามผู้เกี่ยวข้องและประเภทหน่วยงาน 62
ตารางที่ 5 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ที่บุคลากร ThaiCERT ได้รับ 88
ตารางที่ 6 ข้อมูลของหน่วยงาน CERT ระดับประเทศในอาเซียน+3 95
ตารางที่ 7 ประเภทภัยคุกคามของรายงานที่ได้รับแจ้งผ่านระบบอัตโนมัติ 110
ตารางที่ 8 แสดงประเภทของภัยคุกคามส�ำหรับการประสานเพื่อรับมือและจัดการ 112
ตารางที่ 9 อภิธานศัพท์และค�ำย่อ 114
ตารางที่ 10 จ�ำนวนหมายเลขไอพีของเครือข่าย (AS number ที่ได้รับแจ้งเหตุภัยคุกคาม) ที่ได้รับแจ้งรายงานภัยคุกคามสูงที่สุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 118
ตารางที่ 11 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจ�ำนวนรายงานประเภท Botnet สูงที่สุด 120
ตารางที่ 12 สถิติประเภท Open DNS Resolver นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 122
ตารางที่ 13 สถิติประเภท Scanning นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 124

16. 16
สารบัญตารางตารางที่ 14 สถิติประเภท Spam นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 126
ตารางที่ 15 สถิติประเภท Open Proxy Server นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 128
ตารางที่ 16 สถิติประเภท Malware URL นับตามจ�ำนวนURL และหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 130
ตารางที่ 17 สถิติประเภท Web Defacement นับตามจ�ำนวน URL และหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 130
ตารางที่ 18 สถิติประเภท Phishing ที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 134
ตารางที่ 19 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-M 136
ตารางที่ 20 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-T 137

17. 17
สารบัญรูปภาพรูปที่ 1 ลักษณะการโจมตีด้วยเทคนิค DNS amplification attack (ที่มา: secureworks com) 50
รูปที่ 2 ตัวอย่างเว็บไซต์ที่ถูกโจมตี Web Defacement 65
รูปที่ 3 ตัวอย่างแอปพลิเคชันปลอม 66
รูปที่ 4 โครงสร้างของไฟล์ภายในแอปพลิเคชันปลอม 67
รูปที่ 5 พฤติกรรมของการส่ง SMS ที่ตรวจสอบได้ 67
รูปที่ 6 การดาวน์โหลด Java Applet ไม่พึงประสงค์ 68
รูปที่ 7 เว็บไซต์ของธนาคารที่ถูกเพิ่มเนื้อหาเข้าไปโดยโปรแกรมไม่พึงประสงค์ 69
รูปที่ 8 แสดงการจ�ำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ 70
รูปที่ 9 แสดงหน้าต่างแจ้งเตือนการอัปเดต 70
รูปที่ 10 ตัวอย่างการโจมตีในลักษณะ Web defacement กับเว็บไซต์ของกระทรวงศึกษาธิการ 74
รูปที่ 11 อันดับความสามารถในการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ในรายงาน World Competitiveness Rankings 2013 ของ IMD 105

18. 18
สารบัญกราฟกราฟที่ 1 จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี 41
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจ�ำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด นับเฉพาะหมายเลขไอพีที่ไม่ซ�้ำ 42
กราฟที่ 3 จ�ำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 42
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง 43
ชุดกราฟที่ 1 สัดส่วนจ�ำนวนหมายเลขไอพีไม่ซ�้ำของเครือข่ายต่างๆ จ�ำแนกตามประเภทภัยคุกคาม 44
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง 46
กราฟที่ 6 เปรียบเทียบการบุกรุกเว็บไซต์แบบต่าง ๆ 52
กราฟที่ 7 เปรียบเทียบการโจมตีเว็บไซต์แบบต่าง ๆ โดยจ�ำแนกตามประเภทของเว็บไซต์ 53
กราฟที่ 8 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Malware URL สูงที่สุด 54
กราฟที่ 9 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Web Defacement สูงที่สุด 55
กราฟที่ 10 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Phishing สูงที่สุด 56
กราฟที่ 11 10 อันดับแรกของหมายเลขพอร์ตที่ถูกสแกนสูงสุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 57
กราฟที่ 12 จ�ำนวนเหตุภัยคุกคามที่ไทยเซิร์ตด�ำเนินการระหว่างปี 2547 - 2556 59

19. 19
สารบัญกราฟกราฟที่ 13 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 60
กราฟที่ 14 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 จ�ำแนกตามประเทศของผู้แจ้ง 61
กราฟที่ 15 สัดส่วนโดเมนที่ได้ถูกแจ้งซ�้ำภัยคุกคามประเภท Fraud และ Intrusions โดยจ�ำแนกตามประเภทของเว็บไซต์ 63
กราฟที่ 16 จ�ำนวนรายงานมัลแวร์ที่ได้รับแจ้งจาก Microsoft ในแต่ละเดือนในปี 2556 นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 64
กราฟที่ 17 สถิติภัยคุกคามประเภท Web Defacement จ�ำแนกเฉพาะหน่วยงานของรัฐในภูมิภาคอาเซียนในปี 2556 72
กราฟที่ 18 สถิติภัยคุกคามประเภท Web Defacement ปี 2556 จ�ำแนกตามประเภทหน่วยงาน (เฉพาะ .th) 73
กราฟที่ 19 จ�ำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ของประเทศในอาเซียน+3 ได้รับแจ้งระหว่างปี 2550-2555 101
กราฟที่ 20 สัดส่วนของภัยคุกคามแต่ละประเภทที่ถูกแจ้งไปยังหน่วยงาน CERT ของแต่ละประเทศในกลุ่มอาเซียน+3 ในปี 2554 และ 2555 102

20. 20
บทนำ�
ไทยเซิร์ตภายใต้การน�ำของส�ำนักงานพัฒนา
ธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้เปิดให้
บริการต่อเนื่องมาเป็นปีที่ 3 แล้วนับตั้งแต่ที่มีมติคณะ
รัฐมนตรีเมื่อปี 2554 ให้โอนย้ายภารกิจมาจากศูนย์
เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติหรือ
NECTECโดยท�ำหน้าที่เป็นหน่วยงานภาครัฐหลักที่ตอบ
สนองและจัดการกับเหตุการณ์ความมั่นคงปลอดภัย
คอมพิวเตอร์ และให้การสนับสนุนที่จ�ำเป็นและค�ำ
แนะน�ำในการแก้ไขภัยคุกคามความมั่นคงปลอดภัย
รวมทั้งติดตามและเผยแพร่ข่าวสารและเหตุการณ์ทาง
ด้านความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ต่อ
สาธารณชน ตลอดจนท�ำการศึกษาและพัฒนาเครื่อง
มือและแนวทางต่าง ๆ ในการปฏิบัติเพื่อเพิ่มความ
มั่นคงปลอดภัยในการใช้คอมพิวเตอร์และเครือข่าย
อินเทอร์เน็ต ซึ่งที่ผ่านมาก็ประสบผลส�ำเร็จโดยอาศัย
ช่องทางความร่วมมือระหว่างเครือข่าย CERT ที่มีทั้ง
ภายในประเทศไทยและต่างประเทศช่วยเหลือซึ่งกัน
และกัน บริการของไทยเซิร์ตเป็นช่องทางส�ำคัญ
ที่ช่วยให้ค�ำปรึกษาและบรรเทาความเดือดร้อน

21. 21
ในเบื้องต้นให้แก่ประชาชนที่ได้รับผลกระทบจากโปรแกรมไม่
พึงประสงค์ การบุกรุกเข้าระบบ ความพยายามรวบรวมข้อมูล
การโจมตีสภาพความพร้อมใช้งาน การฉ้อโกง ฯลฯ ก่อนที่จะ
เข้าสู่การด�ำเนินการโดยผู้รักษากฎหมายต่อไป
ปัจจุบันเจ้าหน้าที่ไทยเซิร์ตสามารถรักษาระดับคุณภาพ
การให้บริการโดยด�ำเนินการตรวจสอบและวิเคราะห์เหตุเพื่อ
ประสานงานไปยังหน่วยงานที่เกี่ยวข้องได้ภายใน 6 ชั่วโมงหลัง
จากที่ได้รับแจ้งเหตุในช่วงวันเวลาท�ำการและได้ให้บริการตรวจ
พิสูจน์พยานหลักฐานดิจิทัลด้วยเจ้าหน้าที่ ผู้เชี่ยวชาญที่ได้รับ
ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ใน
ระดับสากล โดยใช้เครื่องมือและกระบวนการที่สอดคล้องกับ
มาตรฐานสากลซึ่งจะได้รับการยอมรับทั่วโลกและสามารถ
รองรับการปฏิบัติงานในรูปแบบ e-Court ต่อไปในอนาคต
ไฮไลต์ที่ส�ำคัญในรอบปี 2556 นั้น ไทยเซิร์ตได้
ประสานงานและแจ้งเตือนภัยคุกคามที่เกิดขึ้นในประเทศไทย
จากข้อมูลที่ได้รับผ่านเครือข่าย CERT จ�ำนวนสูงถึง 65 ล้าน
รายการ และรับมือและจัดการภัยคุกคามที่ได้รับแจ้งหรือ
ตรวจพบจ�ำนวน 1,745 เรื่อง (เพิ่มจากปีที่แล้ว 2 เท่า) เป็น
เหตุการณ์ประเภทเจาะระบบเว็บไซต์ที่ตั้งอยู่ในประเทศไทย
1,450 เว็บไซต์ และได้ให้บริการตรวจพิสูจน์พยานหลักฐาน
ดิจิทัล จ�ำนวน 11 เคส รวมปริมาณข้อมูลที่ท�ำส�ำเนาและ
ตรวจวิเคราะห์ 14 เทราไบต์ นอกจากนี้ ไทยเซิร์ต ยังมี
บทบาทเป็นผู้ที่ผลักดันการพัฒนาบุคลากรให้แก่หน่วยงาน
รัฐให้มีโอกาสได้เรียนและสอบประกาศนียบัตรวิชาชีพฯ เช่น
Certified Ethical Hacker (CEH) จัดการอบรมและบรรยาย
โดยผู้เชี่ยวชาญจากต่างประเทศ เช่น หลักสูตรเทคนิคการ
ตรวจพิสูจน์พยานหลักฐานดิจิทัลประเภทโทรศัพท์มือถือ
ร่วมกับส�ำนักงานต�ำรวจแห่งชาติ หลักสูตรอบรม OWASP
Open Web and Application Security Day ให้แก่ผู้พัฒนา
เว็บไทย จัดอบรมและประเมินสมรรถนะด้าน Security ให้
กับบุคลากรด้านความมั่นคงปลอดภัยด้วยมาตรฐาน Local
Certification ที่พัฒนาร่วมกับ Thailand Information
Security Association (TISA)
หนังสือรายงานประจ�ำปีของไทยเซิร์ตฉบับนี้จัดท�ำขึ้นเพื่อ
รวบรวมผลการปฏิบัติงานและเผยแพร่ข้อมูลที่เป็นประโยชน์
ต่อสาธารณะ และคาดหวังว่าจะเป็นประโยชน์ทั้งในแง่ข้อมูล
สถิติเชิงวิชาการที่จะน�ำไปอ้างอิงและเป็นประโยชน์ต่อการ
สร้างความตระหนักแก่ประชาชนทั่วไป และสร้างความสนใจ
ให้มีผู้ที่ประกอบอาชีพด้านความมั่นคงปลอดภัยสารสนเทศใน
ประเทศไทยเพิ่มมากขึ้น อีกทั้งยังเป็นประโยชน์ต่อผู้บริหาร
ที่มีหน้าที่ก�ำหนดนโยบายหรือแผนปฏิบัติของหน่วยงานหรือ
ตัดสินใจเกี่ยวกับนโยบายการใช้ระบบสารสนเทศอย่างมั่นคง
ปลอดภัย
สุรางคณา วายุภาพ
ผู้อ�ำนวยการ
ส�ำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

22. 22
ผลงานเด่นและเหตุการณ์สำ�คัญ ปี 2556
บทที่ 1.

23. 23

24. 24
เพิ่มขึ้นจาก
953
เรื่อง
รับมือและจัดการ
ภัยคุกคามไซเบอร
ไดรับแจง 850 เรื่อง
ตรวจพบเอง 895 เรื่อง
เรื่อง1,745
2012ป
• Security Techniques 13 Certs
• Digital Forensics 8 Certs
• Security Mgt& Audit 4 Certs
บุคลากรไทยเซิรต
ใบรับรอง
สากลในป
2 0 1 325ไดรับ
• CEH ใหเจาหนาที่ของรัฐ 20 คน
• OWASP ใหนักพัฒนาเว็บไทย 38 คน
จาก 18 หนวยงาน
• อบรมและจัดประเมินสมรรถนะ
ดาน Security ในประเทศ จำนวน 120 คน
• รวมกับ สตช. อบรม Mobile Forensics 20 คน
• อบรมจัดตั้ง LaoCERT 20 คน
พัฒนาบุคลากรดาน Cybersecuriy
200กวา คน
เจาภาพประชุม
สัมมนานานาชาติ 2 งาน
• ก.พ. : ASEAN-Japan Information Security
Workshop ผูเขารวมงาน จาก 7 ประเทศ
มีผูเขารวมงานรวมกวา จาก
550
ประเทศ
59
คน
• มิ.ย. : 25th
Annual FIRST Conference 2013
ผูเขารวมงานจาก 59 ประเทศ
ผลงานดานการพัฒนาบุคลากร
ประสานงานและ
แจงเตือนภัยคุกคาม
ซึ่งเกี่ยวของกับจำนวนไอพี
65รายการ
ลาน
5.4หมายเลข
ลาน
ที่เกิดขึ้นในประเทศไทย
จากเครือขาย CERT ทั้งสิ้น
ผลงานดานสถิติของสถานการณ
ดานความมั่นคงปลอดภัย2)1)
ThaiCERT2013INFOGAPHIC

25. 25
จัด Cyber Drill
มีหนวยงานภาครัฐและรัฐวิสาหกิจ
จำลองการโจมตีดวย Malware
14ธนาคาร
เขารวม
และสถาบัน
การเงิน
26
หนวยงาน
2• LaoCERT
• Computer Crime Institute
(Dixie State University)
• SANS Institute
• EC-Council
• Ministry of Internal Affairs and
Communications (Japan)
• สตช.
ขยายเครือขายผาน
MoU6
ฉบับ
32
รวมปริมาณ
ขอมูลตรวจพิสูจน
ตรวจพิสูจนพยาน
หลักฐานดิจิทัล
11
กรณี
อุปกรณ
เทราไบต
เวลาเฉลี่ยแกไขปญหา
คาเฉลี่ยในการปด Phishing Site
31:23 ชั่วโมง
Phishing
ตรวจพบและ
ใหคำแนะนำ
ในการแกไขชองโหว
ชองโหว
ผลงานดานกิจกรรม
และบริการตาง ๆ
ผลงานดานดิจิทัลฟอเรนสิกส
3) 4)
14
ครั้ง
28หนวยงาน
ตรวจสอบ
ชองโหวใหกับ

26. 26
2013KEYEVENTTIMELINE
กิจกรรมที่สำ�คัญเหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำ�คัญ
• เข้าร่วมซักซ้อมรับมือภัยคุกคามกับเครือข่าย
APCERT (APCERT Drill)
• แจ้งเตือน Web Defacement ไทยทีวีสีช่อง 3
(www.thaitv3.com)
• แจ้งเตือน Web Defacement กระทรวงวัฒนธรรม
(www.m-culture.go.th)
• เจ้าภาพจัดการประชุม “ASEAN-Japan
Information Security Policy Workshop”
• ลงนาม MoU ด้าน Cybersecurity กับ Ministry of
Internal Affairs and Communications
ประเทศญี่ปุ่น
• แจ้งเตือนและให้คำ�แนะนำ�ในการแก้ไข Web
Defacement สำ�นักงานคณะกรรมการธุรกรรมทาง
อิเล็กทรอนิกส์ (www.etcommission.go.th)
• จัดซักซ้อมรับมือภัยคุกคามให้หน่วยงานของรัฐ
(Government Cyber Drill)
• ลงนาม MoU ด้าน Digital Forensics กับ Dixie
State College of Utah’s Southwest Regional
Computer Crime Institute (SWRCCI) ประเทศ
สหรัฐอเมริกา
• แจ้งเตือนและให้คำ�แนะนำ�ในการแก้ไข Web
Defacement กระทรวงศึกษาธิการ
(www.moe.go.th)
• แจ้งเตือน ภัยมัลแวร์ Android หลอกขโมยเงินจาก
ธนาคารไทย
JANUARY FEBRUARY MARCH

27. 27
APRIL JUNEMAY
• ตรวจสอบช่องโหว่ให้กับหน่วยงานภาครัฐ 28 หน่วยงาน
• แจ้งเตือน ระวังภัย ช่องโหว่ในแอปพลิเคชัน Viber
ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูล
ในระบบปฏิบัติการ Android
• ร่วมกับ Thailand Information Security Association
(TISA) จัดอบรมและสอบประเมินสมรรถนะบุคลากรด้าน
ความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย
• ลงนาม MoU กับ EC-Council ด้านการพัฒนาบุคลากร
ด้านไซเบอร์
• ให้คำ�แนะนำ�ในการแก้ไข Web Defacement สำ�นักงาน
ปลัดสำ�นักนายกรัฐมนตรี (www.opm.go.th)
• ตรวจพบ แจ้งเตือน และให้คำ�แนะนำ�ในการแก้ไขช่องโหว่
ของระบบบริหารจัดการเว็บโอสติ้งของไทย
• แจ้งเตือน ระวังภัย ช่องโหว่ ใน Internet Explorer 8
(CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว
• ให้การสนับสนุนข้อมูลเชิงเทคนิค การประชุมคณะ
กรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ครั้งที่ 1
• เจ้าภาพจัดงาน 25th
Annual FIRST Conference
Bangkok 2013
• แจ้งเตือน ระวังภัย เว็บไซต์สำ�นักข่าวหลายแห่งใน
ประเทศไทยถูกโจมตีและฝัง e-Banking Trojan

28. 28
KEYEVENTSTIMELINE2556
กิจกรรมที่สำ�คัญเหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำ�คัญ
AUGUST SEPTEMBER
• ร่วมกับ OWASP จัดอบรม ETDA and OWASP:
Open Web and Application Security Day
• ลงนาม MoU กับ LaoCERT ด้านการรับมือและ
จัดการภัยคุกคามไซเบอร์
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Samsung Galaxy
S3 และ Galaxy S4 เปิดให้แอปพลิเคชันใด ๆ
สามารถสร้าง SMS ปลอมหรือแอบส่ง SMS ได้
• ร่วมกับ EC-Council จัดอบรมหลักสูตร Certified
Ethical Hacker v8 (CEH) ให้ผู้เชี่ยวชาญไทย
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Joomla ผู้ไม่หวังดี
สามารถอัปโหลดไฟล์อันตราย เข้ามาในระบบได้
• จัดซักซ้อมรับมือภัยคุกคามให้สถาบันการเงิน
(Financial Cyber Drill)
• ลงนาม MoU กับ สำ�นักงานตำ�รวจแห่งชาติ
ด้านการพัฒนาศักยภาพบุคลากร และมาตรฐาน
การตรวจพิสูจน์พยานหลักฐานดิจิทัล
• แจ้งเตือน ระวังภัย Firefox for Android มีช่องโหว่
ดาวน์โหลดแอปพลิเคชันอันตรายมาติดตั้งทันที
ที่เข้าเว็บไซต์
JULY

29. 29
NOVEMBER DECEMBER
• จัดอบรมการจัดตั้ง CERT ให้กับ LaoCERT
• ลงนาม MoU กับ SANS Institute ในด้านการพัฒนา
บุคลากรด้านไซเบอร์
• เข้าร่วมซักซ้อมรับมือภัยคุกคามไซเบอร์ในภูมิภาค
ASEAN (ASEAN CERT Incident Drill)
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Internet Explorer
ทุกเวอร์ชัน Microsoft ทำ�ให้ผู้ไม่หวังดีสามารถสั่ง
ประมวลผลคำ�สั่งอันตรายได้ (CVE-2013-3893)
• เข้าร่วมและเผยแพร่ภารกิจของไทยเซิร์ต ในงาน ITU
Telecom World 2013 Bangkok
• เฝ้าระวังการโจมตีเว็บไซต์ของหน่วยงานสำ�คัญ และ
สนับสนุนบริการระบบสำ�รองสำ�หรับหน่วยงานที่ถูกปิด
ล้อม ในช่วงสถานการณ์ไม่ปกติ
• ตรวจพบช่องโหว่และประสานงานกับ บ. Naver เพื่อ
แก้ไขแอปพลิเคชัน LINE ป้องกันแฮกเกอร์สามารถดักรับ
ข้อมูล และอ่านบทสนทนาได้
• แจ้งเตือน ระวังภัย ATM Skimmer และข้อควรระวัง
ในการใช้งานตู้ ATM
• แจ้งเตือน ระวังภัย ช่องโหว่ของแอปพลิเคชัน LINE ผู้ใช้
งานควรอัปเดตเวอร์ชันใหม่
• แจ้งเตือน ระวังภัย ระวังภัย Microsoft แจ้งเตือน
ช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน
Adobe Reader
OCTOBER

30. 30
บริการของไทยเซิร์ต
บทที่ 2.

31. 31
ในปี 2556 ไทยเซิร์ต�
รับมือและจัดการภัยคุกคาม
1,745 กรณี นอกจากนี้ยังให้
บริการสำ�รองข้อมูลและสำ�รองระบบ
เมื่อบางหน่วยงานถูกปิดล้อม
ไทยเซิร์ต(ThaiCERT)หรือศูนย์ประสานการรักษาความมั่นคง
ปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ภายใต้การก�ำกับดูแล
ของส�ำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์(องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เริ่มให้บริการใน
เดือนธันวาคม 2554 มีบทบาทที่ส�ำคัญในการรับมือและจัดการ
สถานการณ์ด้านความมั่นคงปลอดภัยทางออนไลน์ในขอบเขต
ครอบคลุมระบบเครือข่ายอินเทอร์เน็ตภายในประเทศไทย และ
ระบบคอมพิวเตอร์ภายใต้โดเมนเนม ประเทศไทย (.th) เป็น
ศูนย์กลางในการประสานความร่วมมือเพื่อแก้ไขและระงับ
เหตุภัยคุกคามด้านสารสนเทศ เพื่อรักษาความต่อเนื่องของการ
ด�ำเนินภารกิจของหน่วยงาน (Business Continuity) และการ
ให้บริการของหน่วยงานต่าง ๆ โดยเฉพาะหน่วยงานที่ถือเป็น
โครงสร้างพื้นฐานส�ำคัญของประเทศ (Critical Infrastructure)
รวมถึงให้การสนับสนุนด้านเทคนิคกับหน่วยงานในสายยุติธรรม
เป้าหมายการดำ�เนินงานของไทยเซิร์ต
• เป็นศูนย์กลางของประเทศในการประสานความ
ร่วมมือและสนับสนุนหน่วยงานในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศ
• สามารถให้บริการรับมือและจัดการภัยคุกคามด้าน
ความมั่นคงปลอดภัย เพื่อรักษาความต่อเนื่องของการ
ด�ำเนินภารกิจของหน่วยงาน โดยเฉพาะหน่วยงานที่
เป็นโครงสร้างพื้นฐานส�ำคัญของประเทศ
• จัดเตรียมบุคลากรให้มีความพร้อมและความสามารถ
ที่ได้รับการยอมรับในระดับสากล ในการรับมือและ
จัดการเหตุภัยคุกคามด้านสารสนเทศ
• สนับสนุนหน่วยงานในสายยุติธรรมในการตรวจพิสูจน์
พยานหลักฐานดิจิทัลเพื่อติดตามตัวผู้กระท�ำผิดมาลงโทษ
• ส่งเสริมและสร้างความตระหนักในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศให้กับหน่วยงานและประชาชน
นอกจากนี้ การด�ำเนินงานของไทยเซิร์ต ยังสอดคล้องกับ
กรอบปฏิบัติที่ก�ำหนดไว้ใน ASEAN Economic Community
Blueprint ในข้อ B4 รายการที่ 51 และ 52 ในการสร้างความ
เชื่อมั่นให้กับภาคธุรกิจและประชาชนในการท�ำธุรกรรมทาง
อิเล็กทรอนิกส์ และลดความเสี่ยงในการเกิดความเสียหายจาก
ภัยคุกคามด้านสารสนเทศ

32. 32
บริการรับมือ
และจัดการสถานการณ์
ด้านความมั่นคงปลอดภัย
ไทยเซิร์ต เป็น Computer Emergency Response
Team (CERT) ระดับประเทศที่ได้รับการยอมรับเป็นตัวแทน
ประเทศไทยในเครือข่าย CERT ระหว่างประเทศ เช่น
Asia Pacific CERT (APCERT) และ Forum of Incident
Response and Security Teams (FIRST) ท�ำหน้าที่รับแจ้ง
เหตุภัยคุกคาม ตรวจสอบ วิเคราะห์หาสาเหตุของปัญหา และ
ประสานงานกับหน่วยงานที่เกี่ยวข้องเพื่อระงับเหตุและแก้ไข
ปัญหานั้น ๆ ปัจจุบันก�ำหนดระดับคุณภาพการให้บริการ
(Service Level Agreement: SLA) ในการวิเคราะห์และ
แจ้งเตือนภัยคุกคามให้กับหน่วยงานที่เกี่ยวข้องทราบภายใน
2 วันท�ำการ เพื่อจ�ำกัดความเสียหายที่อาจเกิดขึ้น และฟื้นฟู
ระบบและการให้บริการโดยเร็วที่สุดซึ่งจะยกระดับการด�ำเนิน
การขึ้นเป็นขั้นตอนการรับมือและจัดการภัยคุกคามในระดับ
ประเทศ (National Incident Response Flow) ในปี 2556
ไทยเซิร์ตได้ด�ำเนินการรับมือและจัดการสถานการณ์ด้าน
ความมั่นคงปลอดภัยไปแล้ว 1,745 กรณี แบ่งเป็นประเภท
การฉ้อฉล (Fraud) สูงสุดคิดเป็นร้อยละ 39.77 การบุกรุก
หรือเจาะระบบได้ส�ำเร็จ (Intrusions) ร้อยละ 36.16 และ
ความพยายามจะบุกรุกเข้าระบบ (Intrusion Attempts)
ร้อยละ 18.11 ในจ�ำนวนนี้รวมถึงการให้ค�ำปรึกษาแก่หน่วย
งานของรัฐที่ถูกเจาะระบบเว็บไซต์เพื่อแก้ไขปัญหา นอกจาก
นี้ในช่วงเหตุการณ์ไม่ปกติทางการเมืองในปลายปี 2556
ไทยเซิร์ตได้ให้ความช่วยเหลือในการส�ำรองข้อมูล และจัดหา
สถานที่ส�ำหรับติดตั้งระบบให้แก่หน่วยงานของรัฐส�ำคัญหลาย
แห่งที่ถูกปิดล้อมและไม่สามารถท�ำงานได้ตามปกติด้วย

33. 33
บริการวิชาการ
ด้านความมั่นคงปลอดภัย
ไทยเซิร์ตให้ความส�ำคัญกับการพัฒนาบุคลากรเพื่อเสริม
สร้างทักษะในด้านการรักษาความมั่นคงปลอดภัย ในปัจจุบัน
ไทยเซิร์ตถือเป็นหนึ่งในองค์กรที่มีจ�ำนวนผู้เชี่ยวชาญด้าน
ความมั่นคงปลอดภัยที่สูงมากที่สุดแห่งหนึ่งของประเทศได้รับ
ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ใน
ระดับสากล32ใบจากสถาบันที่ได้รับยอมรับในระดับสากลเช่น
ISC2
, SANS, EC-Council และ IRCA เป็นต้น ซึ่งเจ้าหน้าที่
ของไทยเซิร์ตได้น�ำเอาความรู้และประสบการณ์ด้านความ
มั่นคงปลอดภัยมาถ่ายทอดผ่านกิจกรรมบรรยายสัมมนาและ
อบรมความรู้ให้กับบุคลากรหน่วยงานภายในประเทศ รวมถึง
ได้จัดกิจกรรมซักซ้อมรับมือภัยคุกคามร่วมให้กับหน่วยงาน
ภาครัฐที่ส�ำคัญและภาคการเงินการธนาคารเป็นประจ�ำทุก
ปี อย่างน้อยปีละ 1 ครั้ง นอกจากนี้ยังได้ร่วมมือกับสมาคม
ความมั่นคงปลอดภัยระบบสารสนเทศหรือ TISA (Thailand
Information Security Association) จัดฝึกอบรมและสอบ
วัดระดับเพื่อพัฒนามาตรฐานการรับรองบุคลากรด้านความ
มั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย และให้การ
รับรองผู้ที่สอบประเมินผ่านเกณฑ์การรับรองอีก 20 คนในปี
แรก (2556)

34. 34
บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสาร
ด้านความมั่นคงปลอดภัย
ไทยเซิร์ตติดตามภัยคุกคามด้านสารสนเทศจากเครือข่าย
CERT ทั่วโลก รวมถึงแหล่งข่าวอื่น ๆ และน�ำข้อมูลมาตรวจ
สอบและวิเคราะห์ผลกระทบก่อนที่จะประกาศแจ้งเตือนภัย
ล่วงหน้า เพื่อให้หน่วยงานและประชาชนตระหนักและพร้อม
ที่จะรับมือกับเหตุการณ์ภัยคุกคามที่อาจเกิดขึ้น ผลงานใน
รอบปี ได้แก่ (1) รายงานประจ�ำปีไทยเซิร์ต ที่รวบรวมและ
วิเคราะห์สถิติทั้งปีกับกรณีศึกษาภัยคุกคามที่น่าสนใจ (2)
หนังสือ Cyber Threat Alerts 2013 ซึ่งแจ้งเตือนภัยคุกคาม
ที่่ส่งผลกระทบเป็นวงกว้างต่อผู้ใช้งานในประเทศ (3) หนังสือ
ThaiCERT Security Articles 2013 ซึ่งเป็นการรวมบทความ
ด้านความมั่นคงปลอดภัยด้านสารสนเทศ (4) ข้อมูลเชิงสถิติ
ภัยคุกคามที่ไทยเซิร์ตประสานงานรับมือและจัดการภัยคุกคาม
ในแต่ละเดือน (5) เว็บไซต์ของไทยเซิร์ต ยังให้บริการเผยแพร่
ข้อมูลข่าวสารด้านความมั่นคงปลอดภัยทางออนไลน์การแจ้ง
เตือนภัยคุกคามต่าง ๆ ที่มีผลกระทบต่อผู้ใช้ในประเทศไทย
จ�ำนวนกว่า 50 เรื่อง เช่น การแจ้งเตือน ระวังภัย เว็บไซต์
ส�ำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอก
ให้ดาวน์โหลดแอนตี้ไวรัสปลอม การแจ้งเตือน ระวังภัย ATM
Skimmer และข้อควรระวังในการใช้งานตู้ ATM และการแจ้ง
เตือนช่องโหว่ของแอปพลิเคชัน LINE

35. 35
บริการตรวจพิสูจน์
พยานหลักฐานดิจิทัล
ศูนย์ดิจิทัลฟอเรนสิกส์ของไทยเซิร์ตให้บริการตรวจพิสูจน์
พยานหลักฐานที่สอดคล้องกับมาตรฐานสากลและรองรับการก้าว
ไปสู่ e-Court ในอนาคต ทั้งนี้เพื่อให้สามารถน�ำรายงานผลการ
ตรวจพิสูจน์ฯไปใช้อ้างอิงในศาลได้อย่างมั่นใจมีผู้เชี่ยวชาญที่ได้
รับประกาศนียบัตรจากสถาบันที่ได้รับการยอมรับทั่วโลก ในปี
2556 ให้บริการรวมจ�ำนวนทั้งสิ้น 11 กรณี จากหน่วยงาน เช่น
ส�ำนักงานต�ำรวจแห่งชาติ กองบังคับการปราบปรามการกระ
ท�ำความผิดเกี่ยวกับเทคโนโลยี(ปอท.)กองบังคับการปราบปรามการ
กระท�ำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจ(ปอศ.)และ
ส�ำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
รวมปริมาณข้อมูลที่ตรวจพิสูจน์14เทราไบต์ประเภทของพยาน
หลักฐานดิจิทัลที่ได้รับมามีหลายรูปแบบเช่นเครื่องคอมพิวเตอร์
ตั้งโต๊ะโทรศัพท์มือถือไฟล์อิมเมจของเครื่องแม่ข่ายฮาร์ดดิสก์ที่
ถอดมาจากเครื่องคอมพิวเตอร์ผู้ต้องสงสัยหรือแม้แต่การไปเก็บ
พยานหลักฐานจากสถานที่เกิดเหตุเพื่อวิเคราะห์หาร่องรอยและ
ที่มาของผู้เจาะระบบค้นหาพยานหลักฐานการกระท�ำผิดละเมิด
ทรัพย์สินทางปัญญา ในหลายกรณีต้องใช้เทคนิคและเครื่องมือ
ที่มีความซับซ้อนมาช่วยตรวจวิเคราะห์และหาความเชื่อมโยง
ของพยานหลักฐานที่ตรวจพบ เช่น การอ่านข้อมูลจากชิปหน่วย
ความจ�ำของโทรศัพท์มือถือโดยตรง การตรวจสอบพฤติกรรม
ของมัลแวร์ในระบบจ�ำลองภายในห้องปฏิบัติการ เป็นต้น

36. 36
บริการตรวจสอบและประเมิน
ช่องโหว่ของระบบสารสนเทศ
การตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ
อย่างสม�่ำเสมอโดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย
ช่วยให้หน่วยงานรู้สภาพของปัญหาและช่องโหว่ของระบบ
สารสนเทศ และเป็นข้อมูลส�ำคัญประกอบการวางแผนและ
จัดท�ำแผนบริหารจัดการความเสี่ยง (Risk Management
Plan: RMP) และแผนบริหารจัดการความต่อเนื่องทางธุรกิจ
(Business Continuity Management: BCM) ของหน่วย
งาน ในปี 2556 ไทยเซิร์ตได้เปิดให้บริการตรวจสอบและ
ประเมินช่องโหว่ (Vulnerability Assessment) ของ
ระบบสารสนเทศให้แก่ส่วนราชการที่เป็นโครงสร้างพื้นฐาน
ส�ำคัญของประเทศไทยจ�ำนวน 28 แห่งใน 2 ลักษณะ ได้แก่
(1) การตรวจสอบและประเมินช่องโหว่ในระดับระบบปฏิบัติ
การและบริการ และ (2) การตรวจสอบช่องโหว่บนเว็บแอป
พลิเคชัน ผลพบว่ามีถึง 1,089 ช่องโหว่ที่ต้องได้รับการแก้ไข
ซึ่งไทยเซิร์ตร่วมกับส�ำนักมาตรฐาน สพธอ. อยู่ระหว่างการจัด
ท�ำร่างเอกสารมาตรฐานการรักษาความมั่นคงปลอดภัยของ
เว็บไซต์ เพื่อให้หน่วยงานในประเทศเป็นแนวทางส�ำหรับการ
บริหารจัดการและพัฒนาเว็บไซต์ให้มีความมั่นคงปลอดภัย

38. 38
รายงาน THREAT & CYBERSECURITY ปี 2556
บทที่ 3

39. 39
ในปี 2556 พบว่าภัย
คุกคามประเภท Botnet
และ Open DNS
Resolver มีจำ�นวน
หมายเลขไอพีที่ไม่ซ้ำ�กัน�
และเกี่ยวข้องกับภัยคุกคาม
ทั้ง 2 ประเภทนี้สูงขึ้น�
ประมาณ 10 เท่าตัว
3.1 ภัยคุกคาม�
ที่ไทยเซิร์ตได้รับแจ้ง
ไทยเซิร์ตได้รับแจ้งเหตุภัยคุกคามที่เกิดขึ้น
ในขอบเขตการด�ำเนินงาน (Constituency)
ของไทยเซิร์ต ครอบคลุมระบบเครือข่าย
อินเทอร์เน็ตภายในประเทศไทย และระบบ
คอมพิวเตอร์ภายใต้โดเมนเนมของประเทศไทย
(.th) ผ่าน 2 ช่องทาง ประกอบด้วย ผู้เสียหาย
หรือผู้ที่มีส่วนได้ส่วนเสีย เช่น หน่วยงานของ
เครือข่าย CERT ในต่างประเทศ หรือหน่วย
งานผู้ให้บริการการรักษาความมั่นคงปลอดภัย
สารสนเทศกับผู้เสียหาย แจ้งเหตุภัยคุกคาม
โดยตรงกับไทยเซิร์ตผ่านทางอีเมลหรือโทรศัพท์
และหน่วยงานในเครือข่าย CERT ส่งข้อมูลภัย
คุกคามที่ตรวจพบในขอบเขตการด�ำเนินงาน
ของไทยเซิร์ตให้ผ่านระบบอัตโนมัติ ซึ่งในปี
2556 ไทยเซิร์ต ได้รับแจ้งเหตุภัยคุกคามผ่าน
ระบบอัตโนมัติ (Automatic Feed) เพิ่มเติม
จากปี 2555 ประกอบด้วย ข้อมูลภัยคุกคาม
Botnet และรายการระบบเว็บไซต์ที่ถูกเจาะ
ระบบส�ำเร็จ ท�ำให้ไทยเซิร์ตสามารถวิเคราะห์
ข้อมูลเกี่ยวกับสถานการณ์ภัยคุกคามของระบบ
เครือข่ายอินเทอร์เน็ตภายในประเทศไทย ได้
ครอบคลุมและแม่นย�ำมากขึ้น ซึ่งข้อมูลที่
ได้รับแจ้งทั้งหมด ไทยเซิร์ตจะด�ำเนินการ
วิเคราะห์ เพื่อยืนยันว่าเหตุภัยคุกคามที่ได้รับ
แจ้งได้เกิดขึ้นจริงหรือยืนยันว่าเหตุภัยคุกคาม
ได้รับแจ้งจากแหล่งข้อมูลที่น่าเชื่อถือ ก่อนจะ
ประสานไปยังผู้ที่เกี่ยวข้องเพื่อให้ด�ำเนินการแก้
ปัญหาภัยคุกคามที่ได้รับแจ้งข้างต้น อีกทั้งยัง
น�ำข้อมูลสถานการณ์ด้านความมั่นคงปลอดภัย
ที่ได้รับแจ้งทั้งหมดในปี 2556 มาวิเคราะห์
แนวโน้มภัยคุกคามด้านสารสนเทศที่เกิดขึ้นและ
จัดท�ำบทวิเคราะห์สถิติสถานการณ์ด้านความ
มั่นคงปลอดภัยคอมพิวเตอร์ ในภาพรวมของ
ประเทศไทย ซึ่งสามารถน�ำสรุปประเด็นที่น่า
สนใจได้ ดังนี้
• รายงานภัยคุกคามที่ได้รับมากที่สุด
ผ่านระบบอัตโนมัติ เป็นภัยคุกคามประเภท
Botnet โดยมีจ�ำนวนถึง 41,046,337 รายการ
คิดเป็นหมายเลขไอพีที่ไม่ซ�้ำกันถึง 2,829,348
หมายเลขรองลงมาคือOpenDNSResolver
และ Spam มีจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำกัน
1,695,783 และ 848,976 หมายเลข ตาม
ล�ำดับ
• เมื่อเปรียบเทียบกับข้อมูลในปี2555
พบว่าภัยคุกคามประเภท Botnet และ Open
DNS Resolver มีจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
กันและเกี่ยวข้องกับภัยคุกคามทั้ง 2 ประเภท
นี้สูงขึ้นอย่างมีนัยส�ำคัญ (สูงขึ้นประมาณ 10

40. 40
เท่าตัว)ชี้ให้เห็นถึงเครื่องคอมพิวเตอร์ในระดับ
ผู้ใช้งานในประเทศไทย ที่ยังคงเป็นจุดอ่อน
และเป็นเป้าหมายหลักของการโจมตีด้วยมัลแวร์
รวมถึงปัญหาการตั้งค่าให้บริการ DNS ซึ่งมีอยู่
เป็นจ�ำนวนมาก
• ในปี 2556 ประเทศไทยมีจ�ำนวน
เครื่องคอมพิวเตอร์ที่ตรวจพบว่าตกเป็นเหยื่อ
ของการติดมัลแวร์ประเภท Botnet เฉลี่ย
อยู่ที่ 60,000 เครื่องต่อวัน โดยในวันที่ได้รับ
รายงานมากที่สุด (11 เม.ย. 2556) พบเครื่อง
ติดมัลแวร์ประเภท Botnet อยู่ประมาณ
100,000 เครื่อง โดยปัจจุบัน ไทยเซิร์ต ได้
ส่งข้อมูลเครื่องที่ตรวจพบว่าติดมัลแวร์ให้กับ
ผู้ให้บริการอินเทอร์เน็ตรายที่พบว่า มีเครื่อง
ติดมัลแวร์จ�ำนวนมากในเครือข่ายเป็นรายวันรวม
ถึงได้ให้ค�ำปรึกษาวิธีการแก้ไขปัญหาดังกล่าว
• จาก 10 อันดับแรกของผู้ให้บริการ
อินเทอร์เน็ตที่เป็นเจ้าของหมายเลขไอพี ที่
ได้รับแจ้งภัยคุกคามที่เกิดขึ้นในเครือข่ายสูง
ที่สุด พบว่าใน 4 อันดับแรก ได้แก่ TOT, True
Internet, Triple T Broadband และ Jastel
Network มีจ�ำนวนหมายเลขไอพีที่ได้รับการ
แจ้งรวมกันเป็นสัดส่วนสูงถึง 91%
• เมื่อพิจารณาภัยคุกคามที่เกี่ยวกับ
การบุกรุกเว็บไซต์ ซึ่งได้แก่ Phishing, Web
Defacement และ Malware URL พบว่ามี
เครื่องคอมพิวเตอร์ที่ให้บริการเว็บไซต์ถูกบุกรุก
ประมาณ3,000เครื่องโดยมากกว่าร้อยละ50
เป็นการบุกรุกในลักษณะ Web Defacement
ในขณะที่เว็บที่เผยแพร่มัลแวร์ (Malware
URL) มีจ�ำนวนกว่า 12,000 รายการ แสดง
ให้เห็นว่าจุดประสงค์ของผู้โจมตีไม่ได้ต้องการ
เพียงแค่ประกาศตัวว่าสามารถเจาะเว็บไซต์ได้
แต่มีจุดประสงค์ที่จะให้ผู้ใช้งานติดมัลแวร์เพื่อ
แสวงหาผลประโยชน์ในด้านอื่น ๆ ด้วย
• ในปี 2556 ไทยเซิร์ตได้รับมือและ
จัดการภัยคุกคามทั้งหมด 1,745 รายงาน
เพิ่มขึ้นมาประมาณ 2 เท่าจากปีก่อนหน้าที่
มีเพียง 792 รายงาน โดยประเภทภัยคุกคาม
ส่วนใหญ่คือ Phishing 694 รายงาน และ
Web Defacement 631 รายงาน รวมกัน
เป็นสัดส่วนกว่า 76% ของจ�ำนวนรายงาน
ทั้งหมด ซึ่งรายงาน Web Defacement เพิ่ม
ขึ้นจากปีที่แล้วกว่า 98% เนื่องจาก ไทยเซิร์ต
มีการรวบรวมข้อมูลการเจาะระบบเว็บไซต์ใน
ประเทศไทยจากหน่วยงานในเครือข่าย CERT
เพิ่มขึ้นจากช่องทางการรับแจ้งจากหน่วยงาน
ที่ได้รับผลกระทบเพียงอย่างเดียว
ผู้โจมตีไม่ได้ต้องการเพียงแค่
ประกาศตัวว่าสามารถเจาะ
เว็บไซต์ได้ แต่มีจุดประสงค์�
ที่จะให้ผู้ใช้งานติดมัลแวร์�
เพื่อแสวงหาผลประโยชน์�
ในด้านอื่น ๆ ด้วย

41. 41
3.1.1 สถิติภัยคุกคาม
ด้านสารสนเทศที่ได้รับ
แจ้งผ่านระบบอัตโนมัติ
จากการศึกษาข้อมูลจ�ำนวนผู้ที่ได้รับ
ผลกระทบจากภัยคุกคามประเภทต่าง ๆ โดย
นับจากหมายเลขไอพีที่ได้รับแจ้งในช่วงทุกครึ่ง
ปี พบจุดที่น่าสนใจคือ จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำของ Botnet ในครึ่งแรกของปี 2556
เพิ่มขึ้นจากช่วงเวลาก่อนหน้าถึง 8 เท่า และ
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำของ Open DNS
Resolver ในครึ่งหลังของปี 2556 เพิ่มขึ้น
จากช่วงเวลาก่อนหน้าถึง 9 เท่า เนื่องจาก
ไทยเซิร์ตเริ่มได้รับข้อมูลประเภทBotnetจาก
ShadowServer ในเดือนมกราคม 2556 และ
เริ่มได้รับข้อมูลประเภทOpenDNSResolver
จาก ShadowServer ในเดือนสิงหาคม 2556
สัดสวน (รอยละ)
ก.ค. - ธ.ค. 2555 ม.ค. - มิ.ย. 2556 ก.ค. - ธ.ค. 2556
Botnet
Open DNS Resolver
Spam
Scanning
Open Proxy Server
Web Defacement
Malware URL
Phishing
Brute Force
DDoS
0 20 40 60 80 100
กราฟที่ 1 จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี

42. 42
True Internet: 2,249,472
TOT: 1,355,520
Jastel Network: 1,094,656
Triple T Broadband: 1,069,056
TT&T: 403,456
CAT Telecom: 308,224
DTAC: 266,240
SBN: 207,616
AWN: 102,400
Real Move: 65,536
True Internet: 2,249,472
TOT: 1,355,520
Jastel Network: 1,094,656
Triple T Broadband: 1,069,056
TT&T: 403,456
CAT Telecom: 308,224
DTAC: 266,240
SBN: 207,616
AWN: 102,400
Real Move: 65,536
จากกราฟที่ 2 พบว่า ผู้ให้บริการอินเทอร์เน็ตที่พบกับปัญหาด้านความมั่นคงปลอดภัย
มากที่สุดคือ TOT ซึ่งมีจ�ำนวนรายงานคิดเป็นสัดส่วนถึง 30% รองลงมาคือ True Internet
(22%) Triple T Broadband (21%) และ Jastel Network (20%) โดยจ�ำนวนรายงานจาก
บริษัททั้ง 4 รายนี้สามารถคิดเป็นสัดส่วนรวมกันได้ถึง 93% ของจ�ำนวนรายงานทั้งหมด และ
ยังจัดอยู่ในกลุ่มของโครงข่ายเครื่องคอมพิวเตอร์ทั้งสิ้น ในขณะที่บริษัทที่มีโครงข่ายโทรศัพท์
มือถืออย่าง Real Move, DTAC และ Advanced Wireless Network นั้น แม้จะติดอยู่ใน 10
อันดับแรกด้วย แต่มีสัดส่วนของจ�ำนวนรายงานรวมกันอยู่เพียง 4% เท่านั้น ในขณะที่กราฟที่
3 เป็นการแสดงจ�ำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุ
ภัยคุกคามสูงสุด เมื่อนับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจ�ำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด
นับเฉพาะหมายเลขไอพีที่ไม่ซ�้ำ
กราฟที่ 3 จ�ำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด
นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ

43. 43
จากสถิติภัยคุกคามเมื่อจ�ำแนกตามผู้ให้บริการ
อินเทอร์เน็ต พบว่าในบรรดาผู้ให้บริการ 4 อันดับ
แรกที่มีจ�ำนวนหมายเลขไอพีที่ได้รับแจ้งสูงที่สุดนั้น
มีรายงานภัยคุกคามประเภท Botnet เป็นสัดส่วน
สูงสุด รองลงมาเป็น Open DNS Resolver และ
Spamตามล�ำดับในขณะที่ผู้ให้บริการที่มีโครงข่าย
โทรศัพท์มือถือส่วนใหญ่จะพบรายงานภัยคุกคาม
ประเภท Spam กับ Botnet เป็นส่วนใหญ่ โดย
เฉพาะ Real Move และ Advanced Wireless
Network ที่มีรายงานที่ได้รับแจ้งเป็นภัยคุกคาม
ประเภท Botnet ทั้งหมด ทั้งนี้เมื่อนับจ�ำนวน
รายงานของภัยคุกคามประเภท Botnet, Open
DNS Resolver และ Spam รวมกันแล้ว พบว่า
มีมากกว่า 90% ของจ�ำนวนรายงานทั้งหมดใน
แต่ละผู้ให้บริการเครือข่าย
Botnet Open DNS Resolver Spam (Other)
TOT
True Internet
Triple T Broadband
Jastel Network
CAT Telecom
SBN
Real Move
AWN
DTAC
TT&T
0 20 40 60 80 100
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง

44. 44
Open DNS resolver
TOT: 42.2%
True Internet: 38.4%
Jastel Network: 9.1%
Triple T Broadband: 5.7%
CAT Telecom: 3.2%
ADC: 0.2%
CS Loxinfo: 0.2%
KSC: 0.1%
MoE: 0.1%
TT&T: 0.1%
(Other): 0.6%
Botnet
TOT: 30.8%
True Internet: 21.4%
Triple T Broadband: 20.4%
Jastel Network: 19.1%
CAT Telecom: 1.9%
SBN: 1.5%
Real Move: 1.1%
AWN: 0.9%
DTAC: 0.8%
TT&T: 0.4%
(Other): 1.8%
Scanning
True Internet: 29.9%
Triple T Broadband: 26.8%
TOT: 21.8%
Jastel Network: 15.0%
CAT Telecom: 1.4%
CS Loxinfo: 0.9%
MoE: 0.7%
UniNet: 0.5%
BB Broadband: 0.3%
DTAC: 0.2%
(Other): 2.4%:
Brute Force
True Internet: 24.6%
TOT: 18.9%
CAT Telecom: 10.7%
Triple T Broadband: 9.5%
MoE: 6.6%
UniNet: 6.3%
Jastel Network: 5.0%
CS Loxinfo: 2.5%
INET: 1.9%
KMUTNB: 0.9%
(Other): 12.9%
Spam
TOT: 62.1%
Triple T Broadband: 15.8%
True Internet: 14.1%
SBN: 2.7%
DTAC: 1.7%
Jastel Network: 1.0%
ADC: 0.4%
UniNet: 0.4%
PROEN: 0.4%
CAT Telecom: 0.2%
(Other): 1.1%
Open proxy server
Triple T Broadband: 43.8%
Jastel Network: 27.1%
CAT Telecom: 14.0%
TOT: 10.8%
True Internet: 2.3%
SBN: 0.7%
MoE: 0.4%
UniNet: 0.2%
CS Loxinfo: 0.1%
Chiang Mai U.: 0.1%
(Other): 0.5%
Malware URL
CAT Telecom: 35.0%
CS Loxinfo: 15.2%
MoE: 6.2%
INET: 5.7%
Metrabyte: 4.8%
UniNet: 3.2%
World Net & Services: 2.7%
ISSP: 2.6%
PROEN: 2.5%
Triple T Broadband: 2.3%
(Other): 19.8%
Phishing
CAT Telecom: 26.7%
TOT: 14.7%
CS Loxinfo: 13.1%
MoE: 5.9%
Metrabyte: 5.1%
INET: 4.7%
UniNet: 3.8%
True Internet: 2.1%
ISSP: 2.0%
Siamdata Communication: 2.0%
(Other): 19.8%
Web defacement
CAT Telecom: 29.9%
CS Loxinfo: 13.9%
MoE: 6.4%
INET: 5.5%
UniNet: 5.4%
Metrabyte: 4.4%
World Net & Services: 2.3%
True Internet: 2.2%
TOT: 2.1%
ISSP: 1.9%
(Other): 26.0%
ชุดกราฟที่ 1 สัดส่วนจ�ำนวนหมายเลขไอพีไม่ซ�้ำของเครือข่ายต่าง ๆ จ�ำแนกตามประเภทภัยคุกคาม

45. 45
จุดที่น่าสังเกตคือมี�
เครือข่ายของภาคการศึกษา
ได้แก่ MoE (กระทรวง
ศึกษาธิการ) และ UniNet
(เครือข่ายสารสนเทศเพื่อ
พัฒนาการศึกษา) ติดอยู่
ใน 10 อันดับแรกของแหล่ง
เกิดเหตุภัยคุกคามประเภท
Phishing และ Web
Defacement ด้วย
เมื่อพิจารณาสัดส่วนจ�ำนวนหมายเลขไอพี
ไม่ซ�้ำของเครือข่ายต่าง ๆ จ�ำแนกตามประเภท
ภัยคุกคามแล้วกลุ่มบริษัทที่ติดอันดับต้นๆส่วน
ใหญ่แล้วจะเป็นผู้ให้บริการเครือข่ายรายใหญ่
เช่น TOT, True และ Triple T Broadband
ซึ่งไม่น่าแปลกใจเนื่องจากผู้ให้บริการเหล่านี้มี
หมายเลขไอพีอยู่ในการครอบครองเป็นจ�ำนวน
มากแต่มีจุดที่น่าสังเกตคือมีเครือข่ายของภาค
การศึกษา ได้แก่ MoE (กระทรวงศึกษาธิการ)
และ UniNet (เครือข่ายสารสนเทศเพื่อ
พัฒนาการศึกษา) ติดอยู่ใน 10 อันดับแรกของ
แหล่งเกิดเหตุภัยคุกคามประเภท Phishing
และ Web Defacement ด้วย
อีกประเด็นหนึ่งที่สังเกตเห็นได้ชัดก็คือผู้ให้
บริการอินเทอร์เน็ต บริษัท กสท โทรคมนาคม
จ�ำกัด (มหาชน) หรือ CAT Telecom ซึ่งครอบ
ครองจ�ำนวนหมายเลขไอพี เพียง 308,224
หมายเลข แต่กลับได้รับผลกระทบจากปัญหา
ภัยคุกคามใกล้เคียงกับกลุ่มบริษัทที่มีหมายเลข
ไอพีจ�ำนวนมากเป็นอันดับต้น ๆ โดยเฉพาะ
อย่างยิ่งในภัยคุกคามประเภทMalwareURL,
Phishing และ Web Defacement ที่ CAT
Telecom มีจ�ำนวนหมายเลขไอพีที่ได้รับแจ้ง
เป็นอันดับหนึ่ง นอกจากนี้ เครือข่ายของ CAT
Telecomยังประสบปัญหาภัยคุกคามประเภท
Open proxy Server มากกว่า TOT ทั้งที่มี
หมายเลขไอพีน้อยกว่าถึง 4 เท่า โดยสาเหตุ
นั้นสันนิษฐานว่าเกิดจากรูปแบบการให้บริการ
ของ CAT Telecom ที่ส่วนใหญ่จะเปิดให้
บริการส�ำหรับองค์กร สอดคล้องกับลักษณะ
ของประเภทภัยคุกคามที่กล่าวมาข้างต้น ที่
จะเกิดเฉพาะกับเครื่องแม่ข่าย
ภัยคุกคามเกือบทุกประเภทจะมีการ
แจ้งรายงานกระจายไปยังบริษัทหลายแห่ง
ในสัดส่วนที่แตกต่างกันไป ยกเว้นภัยคุกคาม
ประเภท Spam เท่านั้นที่มีสัดส่วนการแจ้ง
รายงานเกิดขึ้นกับผู้ให้บริการอินเทอร์เน็ตเพียง
รายเดียวมากกว่าครึ่งหนึ่ง ซึ่งก็คือ TOT ที่มี
สัดส่วนสูงถึง 62%

46. 46
Conficker: 46.2%
Zeus: 13.5%
ZeroAccess: 11.8%
Sality: 11.6%
Pushdo: 7.6%
Citadel: 5.8%
Slenfbot: 1.5%
Gameover: 0.6%
Kelihos: 0.3%
Dorkbot: 0.2%
(Other): 0.9%
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง
3.1.1.1 Botnet
ตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก
2551
ปที่เริ่มพบ
ความสามารถ
DoS สง Spam ขโมยขอมูล ติดตั้งมัลแวรอื่น อื่น ๆ
มัลแวร
2550
2554
2546
2550
2554
2550
2554
2553
2546
Conficker
Zeus
ZeroAccess
Sality
Pushdo
Citadel
Slenfbot
Gameover
Kelihos
Dorkbot

47. 47
ความสามารถของมัลแวร์ที่จ�ำแนกไว้ในตารางข้างต้นนั้น
แบ่งออกเป็น 5 หัวข้อ โดยมีรายละเอียดดังต่อไปนี้
1. ความสามารถในการโจมตีแบบดอส (DoS) ตัวอย่าง
เช่น Pushdo สามารถโจมตีเว็บไซต์ที่ใช้ SSL โดยใช้
วิธีส่งข้อมูลที่ผิดปกติเข้าไปจ�ำนวนมาก ท�ำให้เครื่อง
บริการเว็บต้องท�ำงานหนักจนไม่สามารถให้บริการได้
2. ความสามารถในการเป็นเครื่องมือส่งสแปม (Spam)
ตัวอย่างเช่น Kelihos ที่แพร่กระจายในปี 2011 ถูกผู้
ไม่หวังดีใช้เป็นเครื่องมือในการส่งสแปมเกี่ยวกับการ
เคลื่อนไหวทางการเมืองในยุโรป เป็นต้น
3. ความสามารถในการขโมยข้อมูลต่าง ๆ (โจรกรรม
ข้อมูล) ที่เก็บไว้ในเครื่องคอมพิวเตอร์แล้วส่งกลับไป
ให้กับผู้ไม่หวังดี รวมถึงการลักลอบบันทึกประวัติการ
กดแป้นพิมพ์ที่เรียกกันว่า Key Logging ตัวอย่างที่
เป็นที่รู้จักคือZeusซึ่งถือว่าเป็นBankingMalware
เพราะมีพฤติกรรมขโมยชื่อผู้ใช้และรหัสผ่านของ
บริการธนาคารออนไลน์เป็นหลัก
4. ความสามารถในการติดตั้งมัลแวร์อื่น ๆ ซึ่งเรียก
พฤติกรรมนี้ว่า Dropper เช่น Pushdo ที่มีการ
รายงานว่า มีการใช้เป็นเครื่องมือเพื่อติดตั้งมัลแวร์
Cutwail ซึ่งมีพฤติกรรมในการส่งสแปม
5. ความสามารถอื่น ๆ ที่ไม่สอดคล้องกับ 4 กลุ่มข้างต้น
เช่น การปิด Windows Update หรือรบกวนการ
ท�ำงานของโปรแกรมแอนตี้ไวรัส ตัวอย่างของมัลแวร์
ที่มีพฤติกรรม เช่น นี้ได้แก่ Sality ที่สามารถปิดการ
ท�ำงานของ Windows Firewall เป็นต้น
ส�ำหรับภัยคุกคามประเภท Botnet ซึ่ง 97% ของรายงาน
มีระบุชื่อมัลแวร์นั้น พบว่ามัลแวร์ที่ได้รับแจ้งมากที่สุดคือ
Confickerกว่า46%รองลงมาคือZeus(14%),ZeroAccess
(12%), Sality (12%) และ Pushdo (8%) ซึ่งใน 5 อันดับแรก
นี้นอกจาก ZeroAccess ที่ถูกค้นพบครั้งแรกเมื่อปี 2554 แล้ว
มัลแวร์ตัวอื่น ๆ นั้นล้วนเป็นมัลแวร์ที่ถูกค้นพบมาเป็นเวลา
นานมากกว่า 5 ปีขึ้นไปทั้งสิ้น โดยเฉพาะ Conficker ที่ทาง
Microsoft ได้ออกประกาศแจ้งเตือน รวมถึงออกแพทช์และ
วิธีแก้ไขช่องโหว่ที่มัลแวร์ใช้ในการโจมตีมาตั้งแต่ปี 25511
ซึ่ง
1 Microsoft, https://technet.microsoft.com/en-us/library/
security/ms08-067.aspx
เป็นไปได้ว่า เครื่องคอมพิวเตอร์อาจติดมัลแวร์เหล่านี้มาเป็น
เวลานานแล้ว หรือระบบยังคงมีช่องโหว่เก่า ๆ ที่เคยไม่ได้
รับการแก้ไข จึงเป็นช่องทางให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์
เก่าหรือใหม่ สามารถเข้ามาโจมตีระบบได้ ซึ่งแสดงให้เห็นว่า
ประเทศไทยมีเครื่องคอมพิวเตอร์จ�ำนวนมากที่ยังขาดการดูแล
รักษาด้านความมั่นคงปลอดภัย
เครื่องคอมพิวเตอร์ยังคงมีช่องโหว่
เก่า ๆ ที่ไม่ได้รับการแก้ไข เปิดโอกาส
ให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์เก่า
หรือใหม่สามารถเข้ามาโจมตีระบบได้
แสดงให้เห็นว่าประเทศไทยมีเครื่อง
คอมพิวเตอร์จำ�นวนมากที่ยังขาดการ
ดูแลรักษาด้านความมั่นคงปลอดภัย

48. 48
อีกประเด็นหนึ่งที่น่าสนใจก็คือ19%ของ
รายงาน Botnet ที่ได้รับแจ้ง เป็นมัลแวร์ที่มี
เป้าหมายในการขโมยข้อมูลส่วนบุคคลที่ใช้ใน
การท�ำธุรกรรมออนไลน์โดยตรง เช่น รหัสผ่าน
ของบัญชีผู้ใช้และเลขบัตรเครดิต โดยมัลแวร์
ที่ได้รับแจ้งสูงที่สุด 5 อันดับแรกคือ Zeus,
Citadel, Gameover (พัฒนาต่อยอดมาจาก
Zeus), Bamital และ Black Energy รายงาน
ของ Kaspersky ที่ระบุว่ามัลแวร์ประเภทนี้
รวมถึงมัลแวร์ตัวอื่น ๆ มีจุดประสงค์ในการ
สร้างผลประโยชน์ทางการเงินให้กับผู้ไม่หวังดี
นั้น มีจ�ำนวนเพิ่มสูงขึ้นกว่า 27.6% เมื่อเทียบ
กับปี25552
ไทยเซิร์ตเองก็ได้รับแจ้งและตรวจ
พบมัลแวร์บนระบบปฏิบัติการAndroidหลาย
ตัวที่มีความสามารถในลักษณะดังกล่าว ตาม
บทความแจ้งเตือนที่ได้เผยแพร่บนเว็บไซต์
ของไทยเซิร์ต ตลอดปี 2556 แสดงให้เห็น
ว่า อัตราการเติบโตของมัลแวร์ประเภทนี้
มีแนวโน้มจะเพิ่มสูงขึ้นอีกในปี 2557 โดย
2 Kaspersky, http://www.kaspersky.com/
about/news/virus/2014/Kaspersky-Lab-
statistics-attacks-involving-financial-
malware-rise-to-28-million-in-2013
เฉพาะบนระบบปฏิบัติการของอุปกรณ์พกพา
เนื่องจากในปัจจุบันสมาร์ตโฟนและแท็บเล็ต
ได้กลายเป็นอุปกรณ์ที่ผู้คนนิยมใช้งานในชีวิต
ประจ�ำวัน ในขณะที่ระบบปฏิบัติการและแอป
พลิเคชันของอุปกรณ์เหล่านี้ยังไม่มีมาตรการ
รักษาด้านความมั่นคงปลอดภัยที่ดีทัดเทียม
กับระบบปฏิบัติการบนคอมพิวเตอร์ทั่วไปได้
ท�ำให้ อุปกรณ์พกพาตกเป็นเป้าหมายอันดับ
แรก ๆ ในการโจมตีจากผู้ไม่หวังดี
อย่างไรก็ตาม ทาง Microsoft เองก็ได้
ร่วมมือกับ FBI และหน่วยงานอื่น ๆ ที่มีหน้า
ที่รับผิดชอบและได้รับผลกระทบจากมัลแวร์
ในการเข้ายึดเครื่องแม่ข่ายที่เป็นเครื่องควบคุม
และสั่งการBotnetหลายโครงการยกตัวอย่าง
เช่น ในเดือนมิถุนายน 2556 ได้เข้ายึดเครื่อง
แม่ข่ายที่ควบคุมBotnetที่ติดมัลแวร์Citadel
ภายใต้ปฏิบัติการที่ชื่อ Operation b543
และ
ในเดือนธันวาคม2556ก็ได้เข้ายึดเครื่องแม่ข่าย
3 Microsoft, http://www.microsoft.com/eu/
on-the-issues/article/microsoft-works-
with-financial-services-industry-leaders-
law-enforceme.aspx
19%
ของรายงาน Botnet ที่ได้รับแจ้ง
เป็นมัลแวร์ที่มีเป้าหมายในการ�
ขโมยข้อมูลส่วนบุคคลที่ใช้ในการ
ทำ�ธุรกรรมออนไลน์โดยตรง เช่น�
รหัสผ่านของบัญชีผู้ใช้และเลขบัตรเครดิต
ปัจจุบันสมาร์ตโฟนและแท็บเล็ตได้กลายเป็นอุปกรณ์ที่ผู้คนนิยมใช้งาน
ในชีวิตประจำ�วัน ในขณะที่ระบบปฏิบัติการรวมถึงแอปพลิเคชันของ
อุปกรณ์เหล่านี้ยังไม่มีมาตรการรักษาด้านความมั่นคงปลอดภัยที่ดี
ทัดเทียมกับระบบปฏิบัติการบนคอมพิวเตอร์ทั่วไปได้�
ทำ�ให้ อุปกรณ์พกพา ตกเป็น�
เป้าหมายอันดับแรก ๆ ในการโจมตีจากผู้ไม่หวังดี

49. 49
ที่ควบคุม Botnet ที่ติดมัลแวร์ ZeroAccess4
ซึ่งคาดว่าผลจากปฏิบัติการเหล่านี้จะท�ำให้
จ�ำนวน Botnet ที่พบในปี 2557 ลดลง
ส�ำหรับสถิติจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
กันของ Botnet ที่มีสูงถึง 2.8 ล้านหมายเลข
นั้น พบว่าการค�ำนวณโดยการนับจ�ำนวน
หมายเลขไอพีที่ไม่ซ�้ำตลอดปี 2556 อาจไม่
สามารถสะท้อนจ�ำนวนเครื่องคอมพิวเตอร์ที่
มีปัญหา Botnet ได้อย่างถูกต้อง เนื่องจาก
รูปแบบการใช้หมายเลขไอพี ในเครือข่าย
บรอดแบนด์ตามบ้านโดยส่วนใหญ่ จะไม่มีการ
ก�ำหนดหมายเลขไอพีจริงให้กับผู้ใช้แต่ละราย
อย่างถาวร หมายเลขไอพีใหม่จะถูกก�ำหนดให้
ผู้ใช้งานทุกครั้งที่เริ่มใช้งาน และมีอายุในการ
ใช้งานหมายเลขไอพีนี้เป็นเวลาจ�ำกัดประมาณ
4 Microsoft, http://www.microsoft.com/
en-us/news/press/2013/dec13/12-
05zeroaccessbotnetpr.aspx
24 ชั่วโมง โดยหลังจากหมดอายุการใช้งาน
หมายเลขไอพีนี้แล้ว ผู้ให้บริการอินเทอร์เน็ต
จะก�ำหนดหมายเลขไอพีใหม่ให้
ด้วยเหตุนี้เครื่องคอมพิวเตอร์ที่ติดมัลแวร์
ประเภท Botnet อาจถูกนับว่าว่าพบ Botnet
ทุกวันด้วยหมายเลขไอพีที่ต่างกัน ท�ำให้การ
ค�ำนวณจ�ำนวนเครื่องคอมพิวเตอร์ที่ติดมัลแวร์
ประเภทBotnetด้วยวิธีการนับหมายเลขไอพีที่
ไม่ซ�้ำที่พบตลอดทั้งปี มีความคลาดเคลื่อนจาก
ความเป็นจริงค่อนข้างมาก ดังนั้นจึงได้มีหลัก
การในการค�ำนวณจ�ำนวนเครื่องคอมพิวเตอร์
ที่ติดมัลแวร์ประเภท Botnet อีกรูปแบบหนึ่ง
คือ การใช้จ�ำนวนสูงสุดของหมายเลขไอพีที่ไม่
ซ�้ำกันในรายงานของแต่ละวันจากข้อมูลทั้งปี5
ซึ่งมีจ�ำนวนเท่ากับ 105,232 หมายเลข นั่น
หมายความว่า มีเครื่องคอมพิวเตอร์จ�ำนวน
5 CERT Polska. https://www.cert.pl/PDF/
Report_CP_2013.pdf
ไม่น้อยกว่าหนึ่งแสนเครื่องในประเทศไทย
ที่ติด Botnet และในความเป็นจริงอาจมี
จ�ำนวนมากกว่านี้ เนื่องจากในระบบเครือ
ข่ายโดยทั่วไป มักมีคอมพิวเตอร์หลายเครื่อง
ที่เชื่อมต่อกับอินเทอร์เน็ตโดยใช้หมายเลขไอ
พีจริงร่วมกัน ส่วนภัยคุกคามประเภท Open
ProxyServer,WebDefacement,Malware
URL และ Phishing นั้น ยังคงสามารถใช้
วิธีการค�ำนวณ โดยการนับจ�ำนวนหมายเลข
ไอพีที่ไม่ซ�้ำตลอดทั้งปีได้ เนื่องจากภัยคุกคาม
ประเภทเหล่านี้จะเกิดกับเครื่องแม่ข่าย ซึ่ง
มักได้รับการก�ำหนดหมายเลขไอพีจริงไว้โดย
ไม่ได้มีการเปลี่ยนแปลง
มีเครื่องคอมพิวเตอร์�
จำ�นวนไม่น้อยกว่า�
หนึ่งแสนเครื่องใน
ประเทศไทยที่ติด Botnet
และในความเป็นจริงอาจมี
จำ�นวนมากกว่านี้ เนื่องจาก
ในระบบเครือข่ายโดย
ทั่วไป มักมีคอมพิวเตอร์
หลายเครื่องที่เชื่อมต่อกับ
อินเทอร์เน็ตโดยใช้หมายเลข�
ไอพีจริงร่วมกัน

50. 50
3.1.1.2 Open DNS Resolver นอกจาก Botnet แล้ว Open DNS
Resolver ก็เป็นภัยคุกคามอีกประเภทหนึ่งที่
พบเป็นจ�ำนวนมากในประเทศไทย โดย Open
DNS Resolver คือเครื่องคอมพิวเตอร์หรือ
อุปกรณ์เครือข่ายใด ๆ ก็ตามที่เปิดให้บริการ
Recursive DNS แก่ผู้ใช้ทุกรายที่เข้ามาขอใช้
บริการ ท�ำให้ผู้ไม่หวังดีอาศัยหลักการท�ำงาน
ในส่วนนี้โจมตีระบบด้วยการส่งค�ำร้องขอไปยัง
Open DNS Resolver เป็นจ�ำนวนมาก โดย
ปลอมแปลงหมายเลขไอพีของตนให้กลายเป็น
หมายเลขไอพีของระบบเป้าหมายที่จะโจมตี
ท�ำให้เมื่อ Open DNS Resolver ดังกล่าวได้
รับค�ำร้องขอ จะส่งค�ำตอบกลับไปยังระบบ
เป้าหมายที่ผู้ไม่หวังดีต้องการโจมตี และเมื่อ
ระบบที่ถูกโจมตี ได้รับข้อมูลเป็นจ�ำนวนมาก
จนกระทั่งแบนด์วิดท์ของเครือข่ายมีการใช้งาน
จนเต็ม ก็จะส่งผลให้ระบบดังกล่าวไม่สามารถ
ให้บริการตามปกติต่อไปได้
ทั้งนี้สาเหตุส�ำคัญที่ท�ำให้ Open DNS
Resolver สามารถน�ำไปใช้เป็นเครื่องมือใน
การโจมตีมีอยู่ด้วยกัน 2 ส่วนคือ การเปิดให้
บริการแบบสาธารณะที่ไม่ว่าใครก็ตามสามารถ
เข้ามาขอใช้บริการได้และการเปิดใช้งานฟังก์ชัน
Recursive DNS ซึ่งหมายความว่าระบบที่เปิด
ใช้งานฟังก์ชันดังกล่าวจะเป็นผู้ค้นหาและส่งค�ำ
ตอบสุดท้ายกลับไปยังผู้ใช้ โดยไม่ได้ส่งค�ำตอบ
เป็นที่อยู่ของDNSServerตัวอื่นเพื่อให้ผู้ใช้ไป
ร้องขอข้อมูลเพิ่มเติมเอง ด้วยสาเหตุข้อแรกที่
เป็นการเปิดช่องทางให้ผู้ไม่หวังดีสามารถเริ่ม
ท�ำการโจมตีได้ ร่วมกับสาเหตุข้อที่สองที่เปิด
โอกาสให้ผู้ไม่หวังดี สามารถส่งค�ำร้องขอที่
โดยทั่วไปมีขนาดเล็ก แต่ได้ค�ำตอบที่มีขนาด
ใหญ่กว่าหลายเท่ากลับมา ท�ำให้การโจมตี
วิธีนี้สามารถท�ำได้ง่าย และมีประสิทธิภาพสูง
โดยไม่จ�ำเป็นต้องใช้ทรัพยากรระบบจ�ำนวนมาก
โดยรูปแบบการโจมตีที่ผู้ไม่หวังดีนิยมใช้คือการ
รูปที่ 1 ลักษณะการโจมตีด้วยเทคนิค DNS Amplification Attack (ที่มา: secureworks.com)

51. 51
สั่งการให้ Botnet ส่งค�ำร้องขอไปยัง Open
DNS Resolver หลาย ๆ ตัวเพื่อท�ำการโจมตี
ระบบเป้าหมายพร้อมกัน เกิดเป็นการโจมตีที่
เรียกว่า DNS Amplification Attack ซึ่งเป็น
เทคนิคหนึ่งของการโจมตีแบบ Distributed
Denial-of-Service (DDoS) ที่ได้รับความ
นิยมในปัจจุบัน ดังจะเห็นได้จากข่าวในเดือน
มีนาคม 2556 เกี่ยวกับการโจมตีครั้งใหญ่ด้วย
เทคนิคดังกล่าว โดยมีเป้าหมายเป็นระบบของ
Spamhaus ซึ่งเป็นหน่วยงานไม่แสวงผลก�ำไร
ที่มีภารกิจในการแก้ไขปัญหาสแปม ถึงแม้ว่า
การโจมตีวิธีนี้จะไม่ได้ส่งผลกระทบร้ายแรงต่อ
Open DNS Resolver โดยตรง แต่ถ้า Open
DNSResolverเหล่านี้ได้รับการตั้งค่าให้เหมาะ
สมแล้ว ก็จะมีส่วนช่วยให้ระดับความรุนแรง
ของการโจมตีด้วยเทคนิคดังกล่าวในภาพรวม
ลดลงไปได้ อย่างไรก็ตาม นอกจากโพรโทคอล
DNS แล้ว ก็ยังมีโพรโทคอลอื่น ๆ ที่อาจน�ำมา
ใช้ในการโจมตีในลักษณะเดียวกันได้เช่นNTP
และ SNMP ซึ่งมักเป็นโพรโทคอลที่ท�ำงานอยู่
บนโพรโทคอล UDP
ในส่วนของสถิติภัยคุกคามประเภทOpen
DNSResolverนั้นพบว่าได้รับแจ้งเฉลี่ยเกือบ
60,000 หมายเลขไอพีต่อวันซึ่งเป็นตัวเลขที่
ใกล้เคียงกับสถิติของ Botnet และในวันที่
ได้รับรายงานมากที่สุดพบว่า มีจ�ำนวนสูงถึง
260,000 หมายเลขไอพี จากการตรวจสอบ
กลุ่มหมายเลขไอพีตัวอย่างนั้น พบว่ามีทั้ง
หมายเลขไอพีของเครื่องแม่ข่าย และเราเตอร์
ส�ำหรับองค์กรไปจนถึงเราเตอร์ที่ใช้ตามบ้าน
ซึ่งสาเหตุที่ท�ำให้พบ Open DNS Resolver
บนอุปกรณ์หลากหลายชนิดในปริมาณมาก
เช่นนี้ สันนิษฐานว่าอาจเกิดจากทั้งการตั้งค่า
ระบบโดยผู้ดูแลรวมถึงการตั้งค่ามาตรฐานจาก
ผู้ผลิตที่ไม่รัดกุมพอ อย่างไรก็ตาม การตรวจ
สอบหมายเลขไอพีที่ได้รับรายงานทั้งหมดเพื่อ
ประเมินสัดส่วนของ Open DNS Resolver
จ�ำแนกตามประเภทของอุปกรณ์นั้นยังท�ำได้
ยาก เนื่องจากยังไม่มีเครื่องมืออัตโนมัติที่
สามารถตรวจสอบ และจ�ำแนกประเภทของ
อุปกรณ์ได้อย่างแม่นย�ำ อีกทั้งข้อมูล Open
DNS Resolver ที่ไทยเซิร์ตได้รับแจ้งนั้นจะ
ย้อนหลังไปประมาณ 1-2 วัน และหมายเลข
ไอพีที่ได้รับแจ้งส่วนหนึ่ง ก็เป็นหมายเลข
ไอพีประเภท Dynamic ท�ำให้หมายเลขไอพี
หนึ่ง ๆ ณ เวลาที่ท�ำการตรวจสอบนั้น อาจ
เป็นของอุปกรณ์คนละตัวกับเมื่อเวลาที่ได้รับ
แจ้งข้อมูล ดังนั้น ไทยเซิร์ตจึงได้พัฒนาระบบ
ส�ำหรับตรวจสอบอุปกรณ์ที่เป็น Open DNS
Resolver ในประเทศไทยขึ้นมาเอง และคาด
ว่าในอนาคตจะสามารถพัฒนาเครื่องมือเพื่อ
ตรวจสอบและรวบรวมข้อมูลรายละเอียดของ
อุปกรณ์เหล่านี้ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น
ไทยเซิร์ตได้พัฒนาระบบ
สำ�หรับตรวจสอบอุปกรณ์
ที่เป็น Open DNS
Resolver ในประเทศไทย
ขึ้นมาเอง และคาดว่าใน
อนาคตจะสามารถพัฒนา
เครื่องมือเพื่อตรวจสอบและ
รวบรวมข้อมูลรายละเอียด
ของอุปกรณ์เหล่านี้ได้อย่างมี
ประสิทธิภาพมากยิ่งขึ้น

52. 52
3.1.1.3 Web Attack ในการเปรียบเทียบการบุกรุกเว็บไซต์
แบบต่าง ๆ นับตามหมายเลขไอพีที่ไม่ซ�้ำ
กัน ซึ่งแสดงให้เห็นถึง จ�ำนวนเครื่องแม่ข่าย
ที่ถูกเจาะระบบนั้น พบว่าการบุกรุกประเภท
WebDefacementเกิดขึ้นมากที่สุดถึง1,430
หมายเลข ส่วนการบุกรุกประเภท Malware
URL และ Phishing มีจ�ำนวนที่ใกล้เคียง
กันคือ 874 และ 746 หมายเลขตามล�ำดับ
ในขณะที่การเปรียบเทียบการบุกรุกเว็บไซต์ที่
แยกตาม URL ที่ไม่ซ�้ำกัน เพื่อพิจารณาในมุม
ของการน�ำเว็บไซต์ไปโจมตีผู้อื่นนั้น พบว่าการ
บุกรุกประเภท Malware URL จะเกิดขึ้นมาก
ที่สุด ด้วยจ�ำนวน URL ที่มีการใช้เพื่อเผยแพร่
มัลแวร์ถึง 11,917 รายการ มากกว่าการบุกรุก
ประเภท Phishing กว่า 3 เท่า อย่างไรก็ตาม
ภัยคุกคามประเภท Phishing ก็ส่งผลกระทบ
ที่รุนแรงไม่น้อยไปกว่าการบุกรุกแบบอื่น ๆ
เนื่องจากเป็นภัยคุกคามที่สร้างความเสียหายต่อ
ประชาชนทั่วไปและธุรกิจขององค์กรโดยตรง
นอกจากนี้ สิ่งที่น่าสนใจอีกประเด็นหนึ่ง
คือสัดส่วนของจ�ำนวน URL ต่อหมายเลขไอพี
ซึ่งแสดงถึงความหนาแน่นของปริมาณการน�ำ
เว็บไซต์ไปใช้ในการโจมตีผู้อื่นต่อหมายเลขไอพี
ตัวเดียวโดยการบุกรุกประเภทMalwareURL
นี้มีสัดส่วนในปริมาณสูงสุดถึง 13.6 URL ต่อ
หมายเลขไอพี ในขณะที่ Phishing มีสัดส่วน
น้อยกว่า Malware URL กว่าครึ่งหนึ่ง
จำนวน URL ที่ไมซ้ำ
จำนวนหมายเลขไอพีที่ไมซ้ำ
Malware URL Web Defacement Phishing
0k
2.5k
5k
7.5k
10k
12.5k
15k
กราฟที่ 6 เปรียบเทียบการบุกรุกเว็บไซต์แบบต่าง ๆ

53. 53
กราฟที่ 7 เปรียบเทียบการโจมตีเว็บไซต์แบบต่าง ๆ โดยจ�ำแนกตามประเภทของเว็บไซต์
เมื่อเปรียบเทียบการโจมตีเว็บไซต์แบบ
ต่าง ๆ โดยจ�ำแนกตามประเภทของเว็บไซต์
แล้ว พบว่าเว็บไซต์ของหน่วยงานภาคเอกชน
(.com) ได้รับผลกระทบ เป็นอันดับหนึ่งใน
การโจมตีทุกประเภท ในขณะที่เว็บไซต์ของ
หน่วยงานภาครัฐ(go.th)ได้รับผลกระทบจาก
MalwareURLกับWebDefacementสูงเป็น
อันดับที่ 2 และอยู่ในอันดับที่ 5 ของการโจมตี
ประเภท Phishing และเมื่อพิจารณาจ�ำนวน
เว็บไซต์ภายใต้โดเมน .com และ .co.th ที่ได้
รับผลกระทบจากการโจมตีประเภท Phishing
พบว่ามีสัดส่วนที่สูงเกือบ 70% ส่วนเว็บไซต์
ของหน่วยงานด้านการศึกษา (.ac.th) นั้น พบ
การโจมตีประเภทWebDefacementจ�ำนวน
มากที่สุดเมื่อเปรียบเทียบกับประเภทอื่น ๆ
เว็บไซต์ของหน่วยงาน
ภาคเอกชน (.com)
ได้รับผลกระทบเป็น
อันดับหนึ่งในการโจมตีทุก
ประเภท ในขณะที่เว็บไซต์
ของหน่วยงานภาครัฐ
(go.th) ได้รับผลกระทบจาก
Malware URL กับ Web
Defacement สูงเป็น
อันดับที่ 2 และอยู่ในอันดับ
ที่ 5 ของการโจมตีประเภท
Phishing
.com: 34.9%
Unknown
(IP address): 25.1%
.go.th: 17.2%
.net: 11.4%
.ac.th: 5.2%
(Other): 6.1%
.com: 45.3%
.go.th: 21.5%
.ac.th: 16.7%
.co.th: 6.7%
.net: 4.2%
(Other): 5.6%
.com: 53.3%
.co.th: 16.0%
Unknown (IP address): 7.6%
.ac.th: 8.2%
.go.th: 5.2%
(Other): 9.8%
Malware URL
Web defacement
Phishing

54. 54
ใน 10 อันดับแรกของ โดเมนเนม ที่มีรายงาน Malware URL สูง
ที่สุดเมื่อนับตามจ�ำนวน URL ที่ไม่ซ�้ำนั้น พบว่ามีเว็บไซต์ของหน่วยงาน
ภาครัฐติดอยู่ในอันดับต้น ๆ หลายแห่ง ยกตัวอย่างเช่นเว็บไซต์ส�ำนักงาน
เขตพื้นที่การศึกษาประถมศึกษาเพชรบุรี เขต 2 (203.172.205.22) ที่
ได้รับจ�ำนวนรายงานสูงที่สุดกว่า 2,593 รายการ คิดเป็นสัดส่วนถึง 22%
ของรายงานทั้งหมดใน 10 อันดับแรก ในขณะที่เว็บไซต์ภายใต้โดเมน
obec.go.th ซึ่งส่วนใหญ่เป็นเว็บไซต์ของส�ำนักงานเขตพื้นที่การศึกษา
นั้นมีจ�ำนวนรายงานกว่า 1,501 รายการ และเว็บไซต์ phichit.net ของ
ส�ำนักงานเขตพื้นที่การศึกษาพิจิตร เขต 1 มีจ�ำนวนรายงานถึง 1,092
รายการซึ่งสาเหตุที่ท�ำให้เว็บไซต์ของหน่วยงานภาครัฐติดอยู่ใน10อันดับ
แรกหลายแห่งนั้น อาจเกิดจากการที่ผู้ดูแลเว็บไซต์ไม่ได้แก้ไขช่องโหว่เมื่อ
ได้รับค�ำแจ้งเตือน หรือแก้ไขด้วยการลบเฉพาะไฟล์มัลแวร์ แต่ไม่ได้แก้ไข
ช่องโหว่ของเว็บไซต์ ท�ำให้ผู้ไม่หวังดีสามารถย้อนกลับมาโจมตีผ่านทาง
ช่องโหว่เดิม ส่งผลให้ได้รับแจ้งรายงานของเว็บไซต์เดิม ๆ อยู่หลายครั้ง
203.172.205.22
obec.go.th
phichit.net
kasettoday.com
winnerwideworld.com
ppdho.com
thaigoodview.com
winnerwideworld.co.th
dmf.go.th
watpa-pathomchai.com
0 500 1000 1500 2000 2500 3000
กราฟที่ 8 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Malware URL สูงที่สุด

55. 55
เมื่อพิจารณา โดเมนเนม ที่มีจ�ำนวนรายงาน URL ของการ
โจมตีประเภท Web Defacement สูงสุด 10 อันดับแรก จะพบ
ว่าเป็นเว็บไซต์ของหน่วยงานภาครัฐ และภาคการศึกษาอย่าง
ละครึ่ง โดยอันดับหนึ่งเป็นเว็บไซต์ส�ำนักงานเขตพื้นที่การศึกษา
ประถมศึกษาบุรีรัมย์ เขต 3 (brm3.go.th) รองลงมาคือเว็บไซต์
ของมหาวิทยาลัยรามค�ำแหง (ru.ac.th) และกรมตรวจบัญชี
สหกรณ์(cad.go.th)ตามล�ำดับนอกจากนี้ยังพบหน่วยงานส�ำคัญ
อย่างเช่น ส�ำนักงานปลัดกระทรวงสาธารณสุข (ru.ac.th) และ
กรมส่งเสริมการเกษตร (doae.go.th) อยู่ในรายการด้วย ทั้งนี้
ผู้ไม่หวังดีที่โจมตีเว็บไซต์แทบทั้งหมด เป็นกลุ่มแฮกเกอร์จาก
ต่างประเทศที่มีจุดมุ่งหมายในการสร้างชื่อเสียงให้กับตนเองโดยไม่
ได้มีเป้าหมายจะโจมตีเว็บไซต์แห่งใดแห่งหนึ่งอย่างเฉพาะเจาะจง
แต่เน้นไปที่จ�ำนวนเว็บไซต์ที่สามารถเจาะระบบได้
brm3.go.th
ru.ac.th
cad.go.th
moph.go.th
pkn2.go.th
swu.ac.th
doae.go.th
kku.ac.th
psu.ac.th
ku.ac.th
0 20 40 60 80 100 120 140 160
กราฟที่ 9 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Web Defacement สูงที่สุด

56. 56
เมื่อพิจารณา โดเมนเนม ที่มีจ�ำนวนรายงาน URL ของการโจมตีประเภท Phishing สูงสุด
10 อันดับแรกจะพบว่า เกือบทั้งหมดเป็นเว็บไซต์ของหน่วยงานภาคเอกชน ยกเว้นเว็บไซต์ของ
สถานีต�ำรวจนครบาลพญาไท (phayathai-police.com) และเว็บไซต์งานทะเบียนและวัดผล
โรงเรียนกรุงเทพคริสเตียนวิทยาลัย (61.19.58.247)
ajstar.co.th
phayathai-police.com
worldpump-wpm.com
gnetmobile.com
61.19.58.247
cancluster.com
mywater.in.th
idtecresume.com
baanaree.net
gpadtablet.com
0 50 100 150 200 250 300 350 400
กราฟที่ 10 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Phishing สูงที่สุด
D O M A I N
N A M E

57. 57
3.1.1.4 Spam, Brute Force และ
Scanning
ภัยคุกคามประเภท Spam ที่ไทยเซิร์ต
ได้รับแจ้งในปี 2556 เมื่อนับจ�ำนวนรายงาน
ตามหมายเลขไอพีที่ไม่ซ�้ำแล้ว พบว่าได้รับ
แจ้งเฉลี่ยต่อวันเกือบ 8,000 หมายเลขไอพี
อย่างไรก็ตามไทยเซิร์ตได้รับแจ้งข้อมูลประเภท
Spamครั้งสุดท้ายในช่วงเดือนกันยายน2556
ส่วนภัยคุกคามประเภท Brute Force ที่ได้รับ
แจ้งนั้น พบว่าวันที่ได้รับรายงานมากที่สุดเมื่อ
นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำมีจ�ำนวน
21 หมายเลขไอพี โดยรายงานทั้งหมดเป็นการ
โจมตีบริการ SSH ของเครื่องเป้าหมาย
กราฟที่ 11 10 อันดับแรกของหมายเลขพอร์ตที่ถูกสแกนสูงสุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
�
�
�
�
�
ภัยคุกคามประเภท Spam
ที่ไทยเซิร์ตได้รับแจ้งใน�
ปี 2556 เฉลี่ยต่อวันเกือบ�
8,000หมายเลขไอพี
4899/tcp: 58.4%
3389/tcp: 22.1%
22/tcp: 8.8%
445/tcp: 4.1%
23/tcp: 1.9%
80/tcp: 1.5%
5900/tcp: 0.7%
1433/tcp: 0.3%
139/tcp: 0.3%
25/tcp: 0.3%
(Other): 1.6%

58. 58
หมายเลขพอร์ต รายละเอียด
4899/tcp Attacks on Radmin remote
administration tool
3389/tcp Attacks on RDP
22/tcp Attacks on SSH
445/tcp Attacks on Windows RPC
23/tcp Attacks on Telnet
80/tcp Attacks on web applications
5900/tcp Attacks on VNC
1433/tcp Attacks on MS SQL
139/tcp Attacks on NetBIOS
25/tcp Attacks on SMTP
ตารางที่ 2 ค�ำอธิบายของหมายเลขพอร์ตที่ถูกสแกน
ส�ำหรับภัยคุกคามประเภท Scanning ซึ่ง
เครื่องคอมพิวเตอร์ในประเทศไทยเป็นผู้ท�ำการ
สแกนหมายเลขพอร์ตของเครื่องคอมพิวเตอร์
ในต่างประเทศนั้น พบว่า 3 อันดับแรกของ
หมายเลขพอร์ตที่ตกเป็นเป้าหมายในการสแกน
สูงที่สุด ได้แก่ 4899/tcp (Radmin), 3389/
tcp (RDP) และ 22/tcp (SSH) เป็นหมายเลข
พอร์ตของบริการควบคุมดูแลระบบจากระยะ
ไกล (Remote Administration) ทั้งสิ้น รวม
กันเกือบ 90%
ภัยคุกคามประเภท
Scanning หมายเลข
พอร์ตที่ตกเป็นเป้าหมาย
ในการสแกนสูงที่สุด ได้แก่
Remote Administration
ทั้งสิ้น รวมกันเกือบ�
90%

59. 59
3.1.2 สถิติภัยคุกคามที่ได้รับการ
ประสานเพื่อรับมือและจัดการโดย
ไทยเซิร์ต
นอกจากการรับรายงานผ่านระบบอัตโนมัติ
แล้วไทยเซิร์ตยังรับแจ้งเหตุภัยคุกคามผ่านทาง
โทรศัพท์และอีเมลโดยตรง ซึ่งจะมีเจ้าหน้าที่
ผู้ประสานงานรับมือและจัดการภัยคุกคามโดย
เฉพาะ โดยในปี พ.ศ. 2556 ไทยเซิร์ตได้เริ่ม
น�ำรายงานประเภทการบุกรุกหรือเจาะระบบ
ได้ส�ำเร็จ (Intrusions) ที่ได้รับแจ้งจากระบบ
อัตโนมัติ มาวิเคราะห์และประสานงานไปยัง
ผู้ที่เกี่ยวข้องเพื่อแก้ไขเหตุภัยคุกคามที่เกิดขึ้น
กราฟที่ 12 จ�ำนวนเหตุภัยคุกคามที่ไทยเซิร์ตด�ำเนินการระหว่างปี 2547 - 2556
จากสถิติเหตุภัยคุกคาม ที่ไทยเซิร์ตได้
รับแจ้งโดยตรงในปี 2556 พบว่า ไทยเซิร์ต
ได้รับแจ้งภัยคุกคามทั้งหมด 1,745 รายการ
เพิ่มขึ้นจากปีที่แล้วประมาณ 2 เท่าเมื่อเทียบ
กับปีก่อนหน้าที่ได้รับแจ้งภัยคุกคามทั้งหมด
792 รายการ และมีแนวโน้มว่าจ�ำนวนเหตุภัย
คุกคามที่ได้รับแจ้งจะเพิ่มขึ้นทุกปี
2547 2548 2549 2550 2551 2552 2553 2554 2555 2556
0
500
1000
1500
2000
2500
3000
3500

60. 60
เมื่อพิจารณาเฉพาะเหตุภัยคุกคาม ที่ได้
รับแจ้งในปี 2556 จะพบว่า ภัยคุกคามที่ได้
รับแจ้งมากที่สุดยังคงเหมือนกับปีที่แล้ว คือ
ประเภท Fraud กว่า 40% หรือคิดเป็นจ�ำนวน
694รายการเพิ่มขึ้นจากปีที่แล้ว160รายการ
รองลงมาคือ Intrusions ด้วยสัดส่วน 36%
หรือคิดเป็นจ�ำนวน 631 รายการ จะเห็นได้
ว่า รายงานภัยคุกคามส่วนใหญ่เป็นเรื่องของ
การเจาะระบบเว็บไซต์ เห็นได้จากภัยคุกคาม
ประเภท Fraud ซึ่งเป็นการโจมตีในรูปแบบ
ของ Phishing และ Intrusions ซึ่งเป็นการ
โจมตีในรูปแบบ Web Defacement รวมกัน
แล้วคิดเป็นสัดส่วนสูงถึง 76% ของรายงานที่
ได้รับทั้งหมด
ภัยคุกคามที่ได้รับแจ้งในปี
2556 การโจมตีในรูปแบบ
Web Defacement�
รวมกันแล้วคิดเป็น�
สัดส่วนสูงถึง�
76%�ของรายงานที่ได้รับทั้งหมด
Fraud: 39.8%
Intrusions: 36.2%
Intrusion attempts: 18.1%
Malicious code: 4.1%
Abusive content: 0.7%
Availability: 0.6%
Information gathering: 0.5%
กราฟที่ 13 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556

61. 61
ในขณะเดียวกัน เมื่อจ�ำแนกรายงานภัยคุกคามที่ไทยเซิร์ตได้รับตามประเทศของผู้แจ้งแล้ว
พบว่า สหรัฐอเมริกาเป็นประเทศที่แจ้งรายงานโดยรวมมากที่สุด ซึ่งส่วนใหญ่เป็นรายงาน
ที่เกี่ยวข้องกับภัยคุกคามประเภท Fraud รองลงมาเป็นประเทศบราซิลและออสเตรเลียที่
ได้รับรายงานส่วนใหญ่เกี่ยวกับภัยคุกคามประเภท Intrusion Attempts ส่วนแท่งกราฟ
ของ ไทยเซิร์ตนั้น เป็นจ�ำนวนรายงานภัยคุกคามที่ไทยเซิร์ตแจ้งออกไปยังหน่วยงานที่เกี่ยวข้อง
เมื่อพิจารณาสถิติที่จ�ำแนกรายงานเหตุภัยคุกคามประเภท Fraud ตามประเภทของ
ผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง โดยผู้โจมตีคือเว็บไซต์ที่มีหน้าเว็บหลอกลวง และ
ผู้เสียหายคือหน่วยงานที่ถูกแอบอ้างชื่อในการสร้างหน้าเว็บปลอมแล้ว จะพบว่ามีลักษณะ
เหมือนกับปีที่ผ่านมา นั่นคือ ผู้แจ้งเหตุและผู้เสียหายส่วนใหญ่จะอยู่ในต่างประเทศ และ
ผู้โจมตีส่วนใหญ่จะอยู่ภายในประเทศ
Abusive content
Availability
Fraud
Information gathering
Intrusion attempts
Intrusions
Malicious code
ThaiCERT United
States
Brazil Australia Canada Denmark Malaysia Thailand Japan Spain
0
200
400
600
800
1000
กราฟที่ 14 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 จ�ำแนกตามประเทศของผู้แจ้ง ตารางที่ 3 ข้อมูลการด�ำเนินการเหตุภัยคุกคามประเภท Fraud จ�ำแนกตามผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง
ผู้แจ้ง สัดส่วน ผู้เสียหาย สัดส่วน ผู้โจมตี สัดส่วน
ในประเทศ 257 37.03% 14 2.02% 674 97.54%
ต่างประเทศ 457 62.97% 677 97.55% 15 2.17%
ระบุไม่ได้ 0 0% 3 0.43% 2 0.29%

62. 62
ผู้แจ้ง สัดส่วน ผู้เสียหาย สัดส่วน ผู้โจมตี สัดส่วน
บุคคล 1 0.14% 0 0% 0 0%
เซิร์ต (CERT)/
หน่วยงานด้านความ
มั่นคง
ปลอดภัยคอมพิวเตอร์
486 70.03% 0 0% 0 0%
ผู้ให้บริการ
อินเทอร์เน็ต
31 4.47% 0 0% 0 0%
บริษัท/ธุรกิจ/เอกชน 176 25.36% 637 91.79% 607 87.64%
สถาบันการศึกษา 0 0% 1 0.14% 46 6.63%
หน่วยงานของรัฐ 0 0% 0 0% 24 3.46%
อื่น ๆ 0 0% 56 8.07% 17 2.45%
ตารางที่ 4 ข้อมูลการด�ำเนินการเหตุภัยคุกคามประเภท Fraud จ�ำแนกตามผู้เกี่ยวข้องและประเภทหน่วยงาน
ในขณะที่สถิติของเหตุภัยคุกคามประเภท
Fraudเมื่อจ�ำแนกตามผู้เกี่ยวข้องและประเภท
หน่วยงานนั้น พบว่าผู้โจมตีส่วนใหญ่เป็น
เว็บไซต์ของหน่วยงานประเภทบริษัท/ธุรกิจ/
เอกชน ซึ่งเกิดจากผู้ไม่หวังดี เจาะระบบ
เว็บไซต์เพื่อวางหน้าเว็บปลอมแปลง ที่แอบ
อ้างชื่อของหน่วยงานอื่น ๆ แสดงให้เห็นว่ามี
เว็บไซต์ของหน่วยงานเหล่านี้จ�ำนวนไม่น้อย
ที่ยังขาดการดูแลรักษาความมั่นคงปลอดภัย
ที่ดีพอ ผู้เสียหายโดยส่วนใหญ่ก็ยังคงเป็น
หน่วยงานประเภทบริษัท/ ธุรกิจ/ เอกชน เช่น
เดียวกัน โดยเฉพาะธนาคารและสถาบันการ
เงินต่าง ๆ เนื่องจากผู้ไม่หวังดีมักท�ำหน้าเว็บ
ปลอมแปลงเลียนแบบเว็บไซต์ของหน่วยงาน
เหล่านี้ เพื่อหลอกลวงเอาข้อมูลส่วนบุคคล
จากผู้ที่ตกเป็นเหยื่อ ไปใช้ในการท�ำธุรกรรม
ออนไลน์แทน
ภัยคุกคามประเภท Fraud
ผู้เสียหายโดยส่วนใหญ่
เป็นหน่วยงานประเภท
บริษัท/ธุรกิจ/เอกชน โดย
เฉพาะธนาคารและสถาบัน
การเงินต่าง ๆ เนื่องจาก
ผู้ไม่หวังดีมักทำ�หน้าเว็บ
ปลอมแปลงเลียนแบบเว็บไซต์
ของหน่วยงานเหล่านี้�
เพื่อหลอกลวงเอาข้อมูล�
ส่วนบุคคลจากผู้ที่ตกเป็น
เหยื่อไปใช้ในการทำ�ธุรกรรม
ออนไลน์แทน

63. 63
กราฟที่ 15 สัดส่วนโดเมนที่ได้ถูกแจ้งซ�้ำภัยคุกคามประเภท Fraud และ Intrusion โดยจ�ำแนกตามประเภทของเว็บไซต์
นอกจากนี้ยังพบว่า 19% ของเว็บไซต์ที่ได้รับแจ้งเหตุภัยคุกคามประเภท Fraud และ
Intrusions เคยได้รับแจ้งซ�้ำ และเมื่อน�ำเว็บไซต์ที่เคยได้รับแจ้งซ�้ำมาจ�ำแนกตามประเภท
ของเว็บไซต์แล้ว จะพบว่า 41% เป็นเว็บไซต์ของหน่วยงานภาคการศึกษา (.ac.th) รองลง
มาคือเว็บไซต์ของหน่วยงานภาคธุรกิจ (.com) และเว็บไซต์ของหน่วยงานภาครัฐ (.go.th)
ด้วยสัดส่วนที่เท่ากันคือ 23% ซึ่งสาเหตุที่ได้รับการแจ้งซ�้ำนั้นอาจเป็นเพราะผู้ดูแลเว็บไซต์
แก้ไขปัญหาเฉพาะหน้าด้วยการลบหน้าเว็บที่มีปัญหา แต่ไม่ได้แก้ไขช่องโหว่ของเว็บไซต์ซึ่ง
เป็นต้นเหตุแท้จริง ท�ำให้ผู้ไม่หวังดีสามารถกลับมาโจมตีโดยใช้ช่องโหว่เดิมได้อีก หรือหาก
เป็นระบบที่ไม่ได้มีการดูแลรักษาความมั่นคงปลอดภัยที่ดีพอ ผู้ไม่หวังดีก็มีโอกาสที่จะค้นหา
ช่องโหว่อื่นที่ใช้ในการโจมตีได้โดยง่ายเช่นกัน
.ac.th: 73 (41.0%)
.go.th: 41 (23.0%)
.com: 41 (23.0%)
.co.th: 16 (9.0%)
(Other): 7 (3.9%)

64. 64
นอกเหนือจากการรับแจ้งผ่านช่อง
ทางระบบอัตโนมัติ และทางอีเมลข้าง
ต้นแล้ว ไทยเซิร์ตยังได้ร่วมมือกับบริษัท
Microsoft ในการเป็นศูนย์กลาง ประสาน
งานกับหน่วยงานต่าง ๆ ในประเทศเพื่อ
จัดการกับมัลแวร์ Zbot, Citadel และ
ZeroAccessโดยไทยเซิร์ตได้รับแจ้งหมายเลข
ไอพีในประเทศไทยของเครื่องคอมพิวเตอร์
ที่ติดมัลแวร์ Zbot ตั้งแต่เดือนกุมภาพันธ์ถึง
กรกฎาคมมัลแวร์Citadelตั้งแต่เดือนสิงหาคม
ถึงพฤศจิกายน และ ZeroAccess ตั้งแต่เดือน
ธันวาคมเป็นต้นมา โดยหลังจากที่ไทยเซิร์ตได้
แจ้งเตือนข้อมูลดังกล่าวผ่านทางระบบบริการ
แจ้งข้อมูลภัยคุกคามให้กับผู้ให้บริการเครือข่าย
อินเทอร์เน็ตอัตโนมัติ พบว่าจ�ำนวนหมายเลข
ไอพีที่ได้รับแจ้งมีแนวโน้มที่ลดลง
3.2 ภัยคุกคามที่เป็นกรณีศึกษาที่
ไทยเซิร์ตเข้าไปดำ�เนินการ
ไทยเซิร์ต ให้บริการรับมือและจัดการกับ
ภัยคุกคามกับหน่วยงานของรัฐ และเอกชน
ในขอบเขตการด�ำเนินงาน ครอบคลุมระบบ
เครือข่ายอินเทอร์เน็ตภายในประเทศไทย และ
ระบบคอมพิวเตอร์ ภายใต้โดเมนเนมของ
ประเทศไทย (.th) ในปี 2556 ไทยเซิร์ต
ได้รับแจ้งหรือตรวจพบภัยคุกคาม และเข้าไป
แก้ไขและระงับเหตุภัยคุกคามที่เกิดขึ้นร่วมกับ
หน่วยงานที่เกี่ยวข้อง ซึ่งสรุปเป็นกรณีศึกษา
ที่น่าสนใจหลายกรณี เช่น การโจมตีเว็บไซต์
ของหน่วยงานส�ำคัญ การโจมตีผู้ใช้งานระบบ
E-Bankingของธนาคารไทยและการตรวจพบ
ช่องโหว่ของแอปพลิเคชันแชทซึ่งมีผู้ใช้งานใน
ประเทศไทยเป็นจ�ำนวนมาก เป็นต้น
Zbot
Citadel
ZeroAccess
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
4k
10k
20k
40k
100k
200k
400k
กราฟที่ 16 จ�ำนวนรายงานมัลแวร์ที่ได้รับแจ้งจาก Microsoft ในแต่ละเดือนในปี 2556 นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ

65. 65
3.2.1 กรณีพบการโจมตีเว็บไซต์ที่ใช้
ระบบบริหารจัดการเว็บไซต์ CMS
ของไทย
ในเดือนพฤษภาคม 2556 ไทยเซิร์ต
ได้รับแจ้งกรณีการโจมตีเว็บไซต์ในลักษณะการ
เปลี่ยนแปลงหน้าเว็บไซต์(WebDefacement)
จ�ำนวนมากถึง 37 เว็บไซต์ เมื่อเปิดเข้าไป
ตรวจสอบเว็บไซต์ดังกล่าว พบว่ามีการแทรก
ข้อความในลักษณะเดียวกันบนหน้าเว็บไซต์ว่า
“THIS SITE HACKED BY Z4R4THUSTR4”
เว็บไซต์ที่ได้รับผลกระทบทั้งหมดเป็นเว็บไซต์
ขององค์การบริหารส่วนต�ำบลกลุ่มหนึ่ง ที่ใช้
งานระบบบริหารจัดการเว็บไซต์ (Content
ManagementSystem-CMS)ชนิดเดียวกัน
เมื่อไทยเซิร์ตใช้SearchEngineเช่นGoogle.
comค้นหาข้อมูลเพิ่มเติมก็พบว่ามีเว็บไซต์อื่น
ที่ใช้งาน CMS เช่นเดียวกันนี้อีกจ�ำนวนหนึ่ง
ที่มิได้อยู่ในรายการที่ได้รับแจ้งและได้มีการ
เปลี่ยนแปลงหน้าเว็บไซต์เช่นกัน นอกจากนี้
เมื่อตรวจสอบข้อมูลในเว็บไซต์ของผู้พัฒนา
CMS ดังกล่าว พบว่ามีเว็บไซต์ของหน่วยงาน
ของรัฐอีกมากกว่า 600 เว็บไซต์ที่ใช้งาน CMS
นี้อยู่และมีโอกาสที่จะถูกโจมตีได้
ไทยเซิร์ตท�ำการประสานงานไปยังผู้พัฒนา
CMSดังกล่าวเพื่อแจ้งแนวทางการด�ำเนินการ
ควบคุมและป้องกันปัญหาที่อาจขยายวงกว้าง
ไปยังเว็บไซต์อื่นที่ใช้งาน CMS ตัวเดียวกันนี้
รวมถึง ได้รับการร้องขอให้ช่วยด�ำเนินการ
วิเคราะห์ผลกระทบ และช่องโหว่ที่แฮกเกอร์
ใช้ในการโจมตี โดยจากการวิเคราะห์เบื้องต้น
ด้วยข้อมูลบันทึกการเข้าใช้งานเว็บไซต์ (Web
AccessLog)ที่ได้รับพบว่ามีข้อมูลการล็อกอิน
ที่ผิดปกติในสิทธิของผู้ดูแลระบบในทุกเว็บไซต์
ด้วยบัญชีผู้ใช้งานที่เป็นค่าเริ่มต้นของระบบซึ่ง
มีแหล่งที่มาตรวจสอบแล้วมาจากต่างประเทศ
และพบรูปแบบการโจมตีเพื่อเข้าถึงฐานข้อมูล
ของเว็บไซต์ รวมถึงเมื่อท�ำการตรวจสอบช่อง
โหว่ของเว็บไซต์ CMS ดังกล่าว พบช่องโหว่
รุนแรงที่แฮกเกอร์สามารถใช้โจมตีสามารถ
เข้าถึงฐานข้อมูลของเว็บไซต์ได้ทันที
ผลลัพธ์ของการโจมตีจะท�ำให้แฮกเกอร์ได้
ข้อมูลทั้งหมดที่อยู่ในฐานข้อมูลรวมถึงข้อมูลการ
ล็อกอินที่เป็นบัญชีผู้ใช้งานตั้งต้นของระบบซึ่ง
สมมุติฐานและหลักฐานที่มีท�ำให้พิจารณาได้ว่า
แฮกเกอร์โจมตีระบบจนได้ข้อมูลการล็อกอินที่
เป็นบัญชีผู้ใช้งานตั้งต้นของระบบจากนั้นจึงเริ่ม
ค้นหาเว็บไซต์ที่ใช้งาน CMS ด้วยรูปแบบบาง
ส่วนและท�ำการล็อกอินเข้าสู่ระบบ
เพื่อควบคุมเว็บไซต์ต่อไปซึ่งกรณี
การโจมตีที่พบในครั้งนี้ สามารถ
สรุปได้ว่าปัญหาที่เกิดขึ้นเพราะ
ความหละหลวมในกระบวนการ
บริหารจัดการเว็บไซต์ ในส่วนที่
พบว่าผู้ดูแลไม่ท�ำการลบบัญชีผู้
ใช้งานที่เป็นค่าตั้งต้นของระบบ
ออก และเกิดจากปัญหาในการ
พัฒนาระบบที่มีไม่มีความมั่นคง
ปลอดภัยท�ำให้แฮกเกอร์สามารถ
โจมตี และใช้เป็นควบคุมเว็บไซต์ที่เกี่ยวข้อง
ทั้งหมดได้อย่างง่ายดาย
ไทยเซิร์ต ได้จัดท�ำเอกสารรายงานการ
ตรวจสอบช่องโหว่พร้อมกับข้อเสนอแนะจาก
เหตุการณ์ที่เกิดขึ้น แจ้งให้ผู้ดูแลระบบและ
ผู้เกี่ยวข้องเพื่อให้มีแนวทางในการแก้ไขปัญหา
และสามารถรับมือเหตุภัยคุกคามที่จะเกิดขึ้น
ในอนาคตอย่างทันท่วงที
รูปที่ 2 ตัวอย่างเว็บไซต์ที่ถูกโจมตี Web Defacement

66. 66
3.2.2 กรณีแอปพลิเคชันธนาคาร
ออนไลน์ปลอมในระบบปฏิบัติการ
แอนดรอยด์
ในเดือนกุมภาพันธ์ 2556 ได้มีข่าวการ
แพร่ระบาดของSMSหลอกลวงที่มีเนื้อหาเชิญ
ชวนให้ผู้ใช้งานที่ได้รับ SMS ดังกล่าว ท�ำการ
ดาวน์โหลดแอปพลิเคชันธนาคารออนไลน์
ซึ่งในภายหลังไทยเซิร์ตตรวจพบแอปพลิเค
ชันปลอมหรือที่เรียกว่าแอปพลิเคชันมัลแวร์
ในช่วงเวลาเดียวกันจ�ำนวน 2 แอปพลิเคชัน
ไทยเซิร์ต ได้ท�ำการดาวน์โหลด
แอปพลิเคชันมัลแวร์ดังกล่าวมาตรวจสอบ
และพบว่ามีความพยายามหลอกลวงผู้ใช้งาน
ในหลายขั้น ตั้งแต่ลิงก์ที่ให้ดาวโหลดไฟล์ที่
มีลักษณะคล้ายกับชื่อเว็บไซต์ของธนาคาร
นั้น ๆ จริง และเมื่อท�ำการวิเคราะห์ลึกลงไป
ถึงโครงสร้างท�ำงานของแอปพลิเคชันมัลแวร์
ทั้ง 2 นี้ก็ พบว่ามัลแวร์มีความสามารถ และ
ฟังก์ชันการท�ำงานลักษณะเดียวกันทุกประการ
ต่างกันแค่การตั้งค่าชื่อและรูปของธนาคาร
ที่ใช้ในแอปพลิเคชันเท่านั้น มัลแวร์มีความ
สามารถในการแจ้งข้อมูลการติดมัลแวร์กลับไปยัง
แฮกเกอร์โดยจะส่งSMSพร้อมรายละเอียดของ
ชื่อเครื่องที่ติดมัลแวร์กลับไปยังหมายเลข
โทรศัพท์หนึ่งในต่างประเทศในครั้งแรกที่ติ
ดมัลแวร์ฟังก์ชันหลักของมัลแวร์เป็นการขโมย
ข้อมูล SMS จากเครื่องโทรศัพท์ที่ติดมัลแวร์
นั้น สันนิษฐานได้ว่า จุดประสงค์ของการเผย
แพร่มัลแวร์ดังกล่าว เพื่อใช้ในการขโมยข้อมูล
OTP (One-TimePassword) ที่จะส่งผ่าน
ทาง SMS ให้ผู้ใช้งานเมื่อมีการร้องขอการท�ำ
ธุรกรรมทางการเงิน
จุดประสงค์ของการ
เผยแพร่มัลแวร์ดังกล่าว�
เพื่อใช้ในการขโมยข้อมูล OTP
(One-Time Password)
ที่จะส่งผ่านทาง SMS ให้
ผู้ใช้งานเมื่อมีการร้องขอ�
การทำ�ธุรกรรมทางการเงิน
รูปที่ 3 ตัวอย่างแอปพลิเคชันปลอมที่ปรากฏ
ชื่อธนาคารกสิกรไทย

67. 67
ไทยเซิร์ตได้ตรวจสอบรวบรวมข้อมูลที่
เกี่ยวข้องทั้งหมด เพื่อหาแนวทางป้องกันมิ
ให้ปัญหาภัยคุกคามนี้ขยายวงกว้าง รวมถึง
วิเคราะห์การท�ำงานของแอปพลิเคชันดังกล่าว
อย่างละเอียดและเผยแพร่บทความแจ้งเตือน
ภัยคุกคามบนเว็บไซต์ไทยเซิร์ต พร้อมทั้งได้มี
การประสานงานกับธนาคารที่เกี่ยวข้อง เพื่อ
แจ้งสถานการณ์ของปัญหาที่เกิดขึ้น รวมถึงมี
การแจ้งแนวทางการรับมือกับปัญหาภัยคุกคาม
ดังกล่าวให้กับหน่วยงานที่เกี่ยวข้องทราบต่อไป
รูปที่ 4 โครงสร้างของไฟล์ภายในแอปพลิเคชันปลอม
รูปที่ 5 พฤติกรรมของการส่ง SMS ที่ตรวจสอบได้

68. 68
3.2.3 กรณีเว็บไซต์สำ�นักข่าว
หลายแห่งในประเทศไทยถูกเจาะ
ฝังโทรจันที่หลอกให้ดาวน์โหลด
แอนตี้ไวรัสปลอม
ในเดือนมิถุนายน 2556 ไทยเซิร์ตได้รับ
แจ้งจากหน่วยงานในเครือข่าย ว่าพบความผิด
ปกติบนหน้าเว็บไซต์ของส�ำนักข่าวแห่งหนึ่งใน
ประเทศไทยโดยผู้ใช้งานจะได้รับแจ้งเตือนผ่าน
โปรแกรมเว็บเบราว์เซอร์ว่าเว็บไซต์เหล่านี้มีการ
ตรวจพบการเผยแพร่โปรแกรมไม่พึงประสงค์
หรือที่เรียกว่ามัลแวร์ ซึ่งเมื่อมีการตรวจสอบ
สถิติการเข้าใช้งานเว็บไซต์เหล่านี้จากบริการ
บนนเทอร์เน็ต เช่น จากเว็บไซต์ Truehits.
net พบว่าเว็บไซต์เหล่านี้ได้รับความนิยมสูง
มีอัตราผู้เข้าชมต่อวันหลายหมื่นครั้ง ซึ่งเป็น
ไปได้สูงที่จะตกเป็นเป้าหมายในการโจมตีและ
ใช้เป็นฐานในการเผยแพร่มัลแวร์ ซึ่งในอีกนัย
หนึ่งแสดงว่าผู้ใช้งานกลุ่มใหญ่ที่ก�ำลังตกอยู่ใน
ความเสี่ยงที่จะติดมัลแวร์ได้
ไทยเซิร์ต ท�ำการวิเคราะห์การท�ำงาน
ของเว็บไซต์ดังกล่าว สามารถพิสูจน์ยืนยันได้
ว่าเว็บไซต์เหล่านี้มีการท�ำงานในลักษณะของ
การเผยแพร่มัลแวร์อยู่จริงโดยรูปแบบของการ
ติดมัลแวร์จากเว็บไซต์ซึ่งส่งผลกระทบกับผู้ใช้
งานระบบปฏิบัติการ Windows ที่มีการใช้
งานโปรแกรมเสริมบางตัว ซึ่งโปรแกรมเสริม
ดังกล่าว เป็นโปรแกรมในเวอร์ชันที่มีช่องโหว่
รวมถึง ไทยเซิร์ตยังวิเคราะห์พฤติกรรมการ
ท�ำงานของมัลแวร์ตัวดังกล่าวและพบว่ามัลแวร์
มีความสามารถในการดาวน์โหลดมัลแวร์อื่นๆ
มาติดตั้ง และมีฟังก์ชันในการขโมยข้อมูล รวม
ถึงสามารถผนวกการท�ำงานเข้าไปกับโปรแกรม
เว็บเบราว์เซอร์ เพื่อสั่งการให้เว็บเบราว์เซอร์
แสดงผลหน้าเว็บไซต์ตามที่ต้องการได้ ในกรณี
นี้มัลแวร์ได้รับการตั้งค่าให้ท�ำการเปลี่ยนแปลง
หน้าเว็บไซต์ของธนาคารออนไลน์หลายแห่ง
ในประเทศไทย โดยมีการเพิ่มข้อความเชิญ
ชวนและหลอกลวงให้ผู้ใช้งานดาวน์โหลดและ
ติดตั้งโปรแกรมแอนตี้ไวรัสปลอมบนโทรศัพท์
มือถือ ซึ่งโปรแกรมแอนตี้ไวรัสปลอมดังกล่าว
จะลักลอบขโมยข้อมูล OTP ส�ำหรับการเข้าใช้
งานระบบท�ำธนาคารออนไลน์ต่อไป
รูปที่ 6 การดาวน์โหลด Java Applet ไม่พึงประสงค์

69. 69
ในกรณีนี้มัลแวร์ได้รับการ
ตั้งค่าให้ทำ�การเปลี่ยนแปลงหน้า
เว็บไซต์ของธนาคารออนไลน์
หลายแห่งในประเทศไทย โดยมี
การเพิ่มข้อความเชิญชวนและ
หลอกลวงให้ผู้ใช้งานดาวน์โหลด
และติดตั้งโปรแกรมแอนตี้ไวรัส
ปลอมบนโทรศัพท์มือถือ ซึ่ง
โปรแกรมแอนตี้ไวรัสปลอม
ดังกล่าวจะลักลอบขโมยข้อมูล
OTP สำ�หรับการเข้าใช้งานระบบ
ทำ�ธนาคารออนไลน์ต่อไป ทั้งนี้ จากการประเมินสาเหตุของปัญหา
ที่พบ อาจพิจารณาได้ว่ามีส่วนประกอบของ
ปัญหาหลายส่วนทั้งส่วนที่เกิดจากเว็บไซต์ของ
ส�ำนักข่าวมีช่องโหว่ท�ำให้แฮกเกอร์สามารถเข้า
ควบคุมเว็บไซต์และใช้เป็นแหล่งเผยแพร่มัลแวร์
ได้ และส่วนที่เป็นผลกระทบต่อเนื่องจากผู้ใช้
งานไม่มีการอัปเดตโปรแกรมเสริมที่ใช้งานเมื่อผู้
ใช้งานมีการเปิดเว็บไซต์ดังกล่าวจึงท�ำให้มัลแวร์
สามารถติดตั้งตัวเองลงในระบบคอมพิวเตอร์
ได้ทันที จากสถานการณ์ดังกล่าว ไทยเซิร์ต
ได้ท�ำการประสานงานและแจ้งรายละเอียด
ทั้งหมดที่พบเกี่ยวกับการเผยแพร่มัลแวร์ให้
กับส�ำนักข่าวดังกล่าว พร้อมกันนี้ยังมีการ
ประสานกับผู้ให้บริการโทรศัพท์มือถือเพื่อ
ระงับการส่งSMSไปยังหมายเลขต่างประเทศ
ปลายทางที่ถูกพบบนแอปพลิเคชันแอนตี้
ไวรัสปลอมของผู้ไม่หวังดี และประสานกับ
ผู้ให้บริการจดทะเบียน Domain ของต่าง
ประเทศเพื่อระงับการใช้งาน โดเมนเนม
ที่เกี่ยวข้องกับการโจมตีทั้งหมด และจัดท�ำ
บทความแจ้งเตือน เผยแพร่บนเว็บไซต์ของ
ไทยเซิร์ต และแนะน�ำวิธีการตรวจสอบและ
แก้ไขปัญหาที่เกี่ยวข้องในทันทีรูปที่ 7 เว็บไซต์ของธนาคารที่ถูกเพิ่มเนื้อหาเข้าไปโดยโปรแกรมไม่พึงประสงค์

70. 70
3.2.4 กรณีไทยเซิร์ตพบช่องโหว่ของ
แอปพลิเคชัน LINE สามารถดักรับ
ข้อมูลบนเครือข่าย LAN/WiFi
ในเดือนพฤศจิกายน 2556 ทีมวิจัยของ
ไทยเซิร์ต ได้ท�ำการตรวจวิเคราะห์การท�ำงาน
ของแอปพลิเคชัน LINE ซึ่งเป็นแอปพลิเคชัน
ประเภทการสื่อสารที่มีการใช้งานกันอย่างแพร่
หลายในประเทศไทย โดยพบว่าแอปพลิเคชัน
LINE ที่ท�ำงานบนระบบปฏิบัติการ Windows
(ยกเว้น Windows 8) และ Mac OS นั้น มี
ช่องโหว่ท�ำให้แฮกเกอร์สามารถดักรับและอ่าน
ข้อมูลการสนทนาที่ส่งผ่านเครือข่าย LAN/
WiFi ได้ทันที ถึงแม้ว่าแอปพลิเคชัน LINE ใน
เวอร์ชันที่ใช้งาน จะมีฟังก์ชันเข้ารหัสลับแล้ว
ก็ตาม ทั้งนี้ช่องโหว่ดังกล่าวยังท�ำให้แฮกเกอร์
สามารถเปลี่ยนแปลงข้อมูลที่รับส่งระหว่างผู้ใช้
งานระหว่างทางได้อีกด้วย ปัญหาของช่องโหว่
อยู่ที่ฝั่งแอปพลิเคชัน LINE ซึ่งไม่มีการตรวจ
สอบความถูกต้องของการเชื่อมต่อกับเครื่อง
ให้บริการ ว่ามีการดักรับข้อความอยู่ระหว่าง
ทางหรือไม่ เป็นผลให้แฮกเกอร์สามารถโจมตี
ผู้ใช้งานด้วยการดักรับข้อมูลบนเครือข่ายและ
ใช้เทคนิคการโจมตีบางประเภทเพื่อถอดรหัส
ลับข้อความได้ และสืบเนื่องจากช่องโหว่
ดังกล่าวยังไม่เคยมีการพบ หรือเผยแพร่ที่ใด
มาก่อน จึงไม่พบรายงานความเสียหายที่เกิด
ขึ้นจากช่องโหว่ดังกล่าวบนแหล่งข้อมูลบน
อินเทอร์เน็ตหรือจากแหล่งข่าวใด
รูปที่ 8 แสดงการจ�ำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอปพลิเคชัน
LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ
รูปที่ 9 แสดงหน้าต่างแจ้งเตือนการอัปเดต

71. 71
ไทยเซิร์ต ได้รวบรวมข้อมูลและประสาน
งานแจ้งปัญหาเกี่ยวกับช่องโหว่ไปยังผู้พัฒนา
แอปพลิเคชัน LINE ในประเทศญี่ปุ่น ซึ่ง
ภายหลังได้มีการแก้ไขปัญหาช่องโหว่ และ
เผยแพร่อัปเดตของแอปพลิเคชัน LINE
ดังกล่าวเป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม
ผู้ใช้งานจ�ำเป็นต้องดาวน์โหลด และอัปเดต
แอปพลิเคชัน LINE ด้วยตนเอง โดยไทยเซิร์ต
ได้จัดท�ำบทความวิเคราะห์และเผยแพร่ให้ผู้ใช้
งานได้รับทราบถึงสถานการณ์ของปัญหารวมถึง
วิธีการอัปเดตแอปพลิเคชัน LINE และปัจจุบัน
หน่วยงาน MITRE ซึ่งท�ำงานดูแลเกี่ยวกับการ
ขึ้นทะเบียนข้อมูลช่องโหว่ หรือที่รู้จักบริการที่
อยู่ในความดูแลเกี่ยวกับฐานข้อมูลช่องโหว่ชื่อ
ว่า CVE ได้ท�ำการออกหมายเลขอ้างอิงก�ำกับ
ส�ำหรับกรณีช่องโหว่ดังกล่าว รวมถึงอ้างอิง
รายละเอียดเพิ่มเติมกลับมายังบทความบน
เว็บไซต์ไทยเซิร์ตอีกด้วย
ไทยเซิร์ต ได้รวบรวมข้อมูล
และประสานงานแจ้งปัญหา
เกี่ยวกับช่องโหว่ไปยัง�
ผู้พัฒนาแอปพลิเคชัน LINE
ในประเทศญี่ปุ่น ซึ่งภายหลัง
ได้มีการแก้ไขปัญหาช่องโหว่
และเผยแพร่อัปเดตของ�
แอปพลิเคชัน LINE ดังกล่าว
เป็นที่เรียบร้อยแล้ว

72. 72
3.2.5 กรณี Web Defacement
หน่วยงานสำ�คัญในประเทศ
จากสถานการณ์ภัยคุกคามประเภทWeb
Defacement ที่ไทยเซิร์ตท�ำการรวบรวมในปี
2556 พบว่าการโจมตีที่เกิดขึ้นส่วนใหญ่อยู่ใน
หน่วยงานของรัฐ (go.th) เป็นจ�ำนวนสูงสุด
1,929 รายการ (คิดเป็นร้อยละ 44.6) รองลง
มาเป็นสถาบันการศึกษา (ac.th) มีจ�ำนวน
1,515 รายการ (คิดเป็นร้อยละ 35) โดย
เมื่อพิจารณาสถิติการโจมตีในลักษณะ Web
Defacement ที่เกิดขึ้นในหน่วยงานของรัฐ
เทียบกับประเทศต่าง ๆ ในภูมิภาคอาเซียน
แล้ว พบว่าประเทศไทยติดอยู่ในอันดับแรก
ของการถูกโจมตีในลักษณะนี้
จากสถานการณ์ดังกล่าวมีความสอดคล้อง
กับกรณีที่ไทยเซิร์ตได้รับแจ้งเหตุกรณี Web
Defacement ที่อยู่ในหน่วยงานของรัฐ
ที่มีความส�ำคัญหลายแห่ง เช่น เว็บไซต์
กระทรวงศึกษาธิการ เว็บไซต์ส�ำนักนายก
รัฐมนตรี เว็บไซต์กระทรวงวัฒนธรรม เว็บไซต์
คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
เป็นต้น ส่วนใหญ่พบว่า เป็นการโจมตีโดยมี
จุดประสงค์ ที่คล้ายคลึงกันสองประการคือ
1)ต้องการประกาศตนว่าตนนั้นมีความสามารถ
ที่จะโจมตีและเข้าควบคุมระบบใดๆก็ได้ส�ำเร็จ
หรือ2)สร้างสถานการณ์ให้เกิดความเข้าใจผิด
และมีจุดประสงค์เพื่อต้องการให้หน่วยงาน
นั้น ๆ เกิดความเสื่อมเสียชื่อเสียงและหมด
ความน่าเชื่อถือไปด้วยซึ่งหลายครั้งที่ไทยเซิร์ต
ได้รับการประสานโดยตรงจากหน่วยงานที่ถูก
โจมตี ซึ่งมักจะมาในรูปแบบของการขอให้
ท�ำการวิเคราะห์การโจมตีที่เกิดขึ้น การตรวจ
สอบปัญหาช่องโหว่ของระบบรวมถึงขอให้ช่วย
น�ำเสนอแนวทางการแก้ไขปัญหาโจมตีที่เกิดขึ้น
Thailand (.go.th): 50.8%
Indonesia (.go.id): 30.6%
Malaysia (.gov.my): 6.4%
Vietnam (.gov.vn): 6.0%
Philippines (.gov.ph): 5.3%
Brunei (.gov.bn): 0.4%
Myanmar (.gov.mm): 0.3%
Cambodia (.gov.kh): 0.2%
Laos (.gov.la): < 0.1%
Singapore (.gov.sg): < 0.1%
กราฟที่ 17 สถิติภัยคุกคามประเภท Web Defacement จ�ำแนกเฉพาะหน่วยงานของรัฐในภูมิภาคอาเซียนในปี 2556

73. 73
ให้กับหน่วยงานซึ่งจากการวิเคราะห์แนวโน้ม
การโจมตีในกลุ่มหน่วยงานที่มีความส�ำคัญนี้
พบลักษณะที่น่าสนใจหลายประการตัวอย่าง
เช่น การโจมตีที่เกิดขึ้นกับเว็บแอปพลิเคชัน
ที่มีช่องโหว่เป็นหลัก ในระหว่างการโจมตีมี
ความพยายามใช้เทคนิคซ่อนตัวเพื่อป้องกัน
การตรวจสอบแหล่งที่มา มีการเว้นระยะการ
โจมตีออกเป็นช่วง ๆ เพื่อให้ยากแก่การตรวจ
สอบมีการพยายามขโมยข้อมูลส�ำคัญออกจาก
ฐานข้อมูลของระบบ เช่น ข้อมูลบัญชีผู้ใช้งาน
รหัสผ่าน เป็นต้น รวมถึงพบการเปิดช่องทางที่
จะท�ำให้แฮกเกอร์สามารถกลับเข้ามาควบคุม
ระบบซ�้ำได้อีก (Backdoor)
.go.th: 1,929 (44.6%)
.ac.th: 1515 (35.0%)
.co.th: 602 (13.9%)
.in.th: 216 (5.0%)
.or.th: 56 (1.3%)
.mi.th: 6 (0.1%)
กราฟที่ 18 สถิติภัยคุกคามประเภท Web Defacement ปี 2556 จ�ำแนกตามประเภทหน่วยงาน (เฉพาะ .th)
ไทยเซิร์ต ได้รับแจ้งเหตุกรณี Web Defacement ที่อยู่
ในหน่วยงานของรัฐที่มีความสำ�คัญหลายแห่ง ซึ่งจากที่พบ
ส่วนใหญ่เป็นการโจมตีโดยมีจุดประสงค์ที่คล้ายคลึงกัน
สองประการคือ 1) ต้องการประกาศตนว่าตนนั้นมีความ
สามารถที่จะโจมตีและเข้าควบคุมระบบใด ๆ ก็ได้สำ�เร็จ หรือ
2) สร้างสถานการณ์ให้เกิดความเข้าใจผิด และมีจุดประสงค์
และมีจุดประสงค์เพื่อต้องการให้หน่วยงานนั้น ๆ เกิดความ
เสื่อมเสียชื่อเสียงและหมดความน่าเชื่อถือไปด้วย

74. 74
จากสถานการณ์ Web Defacement ที่
เกิดขึ้นมาตลอดปี 2556 ท�ำให้สามารถสรุป
ภาพรวมของปัญหาได้ว่าปัญหาส่วนใหญ่ที่พบ
เกิดจากการที่หน่วยงานยังขาดความตระหนัก
เกี่ยวกับการรักษาความมั่นคงปลอดภัยด้าน
สารสนเทศการขาดกระบวนการรับมือเหตุภัย
คุกคาม รองลงมาคือส่วนผู้ดูแลรับผิดชอบของ
หน่วยงานขาดความรู้ความเข้าใจเกี่ยวกับการ
ท�ำงานของระบบที่อยู่ในความรับผิดชอบ ซึ่ง
มักจะส่งผลกระทบโดยตรงต่อการแก้ไขปัญหา
จากที่ผ่านมามีหน่วยงานเป็นจ�ำนวนมากที่ได้
รับแจ้งเหตุภัยคุกคามจากไทยเซิร์ต ว่าระบบ
ของหน่วยงานนั้น ๆ ถูกโจมตีและถูกควบคุม
แต่หน่วยงานไม่สามารถด�ำเนินการแก้ไขปัญหา
ใด ๆ ได้ และมักแสดงเหตุผลที่สอดคล้องกัน
ว่าหน่วยงานจัดหาโปรแกรมหรือมีการจ้างผู้
พัฒนาจากภายนอก เพื่อมาพัฒนาระบบเป็น
เวลานานแล้ว และปัจจุบันไม่มีทีมงานที่จะ
สามารถแก้ไขปัญหาดังกล่าวได้ ซึ่งในอีกนัย
หนึ่งเท่ากับเว็บไซต์เหล่านี้ก�ำลังเตรียมพร้อม
ที่จะถูกโจมตีซ�้ำแล้วซ�้ำอีก หรือก�ำลังเตรียม
ที่จะใช้เป็นเครื่องมือส�ำหรับโจมตีผู้อื่นได้ใน
ทันที โดย ไทยเซิร์ต สพธอ. ได้เล็งเห็นความ
ส�ำคัญของปัญหาในส่วนนี้เป็นอย่างมาก จึง
ได้ร่วมกันจัดท�ำร่างมาตรฐานด้านความมั่นคง
ปลอดภัยเกี่ยวกับการพัฒนาเว็บแอปพลิเคชัน
มีเนื้อหาครอบคลุมการพัฒนาเว็บแอปพลิเคชัน
การดูแล/บริหารเว็บแอปพลิเคชัน รวมถึงการ
เผยแพร่บทความส�ำคัญเกี่ยวกับการรับมือภัย
คุกคามที่เกี่ยวข้อง
รูปที่ 10 ตัวอย่างการโจมตีในลักษณะ Web Defacement กับเว็บไซต์ของกระทรวงศึกษาธิการ

75. 75
3.2.6 กรณีการตรวจพิสูจน์
พยานหลักฐานเครื่อง BitTorrent
Server
ในปี2556ศูนย์ดิจิทัลฟอเรนสิกส์(Digital
Forensics Center) ของไทยเซิร์ต ได้รับค�ำ
ร้องขอจากหน่วยงานรักษากฎหมายแห่งหนึ่งให้
ช่วยตรวจสอบวิเคราะห์ความสัมพันธ์ ระหว่าง
เครื่อง BitTorrent Server กับไฟล์ .torrent
จ�ำนวนหนึ่งที่ระบุว่าได้ดาวน์โหลดมาจากเครื่อง
Server ข้างต้น และไฟล์ .torrent เหล่านี้
สามารถใช้ดาวน์โหลดเพลงที่ละเมิดลิขสิทธิ์ได้
และหน่วยงานรักษากฎหมายต้องการให้ศูนย์
ดิจิทัลฟอเรนสิกส์ยืนยันว่าไฟล์.torrentที่อ้าง
ถึง ดาวน์โหลดมาจาก BitTorrent Server ดัง
กล่าว และสามารถใช้ในการดาวน์โหลดเพลง
ละเมิดลิขสิทธิ์ได้จริง
พยานหลักฐานที่ศูนย์ดิจิทัลฟอเรนสิกส์
ได้รับมา ประกอบด้วย
• เครื่อง BitTorrent Server ที่เปิด
ให้บริการเว็บไซต์ BitTorrent
• ไฟล์ .torrent จำ�นวนหนึ่งที่ระบุว่า
ได้ดาวน์โหลดมาจากเว็บไซต์
ดังกล่าว
• ภาพ Screenshot หน้าเว็บไซต์
BitTorrent ที่บันทึกมาจากหน้าจอ
ของ Browser ก่อนที่จะดาวน์โหลด
ไฟล์ .torrent
• ตัวอย่างไฟล์เพลง/ภาพยนตร์
ที่ระบุว่าดาวน์โหลดได้จากไฟล์
.torrent
จากการตรวจสอบไฟล์ .torrent ที่ได้รับ
มากับไฟล์.torrentที่พบในเครื่องBitTorrent
Server พบว่ามีขนาดและเนื้อหาบางส่วนใน
ไฟล์ที่แตกต่างกัน ศูนย์ดิจิทัลฟอเรนสิกส์จึง
ได้ท�ำการตรวจสอบเพิ่มเติมโดยการวิเคราะห์
ข้อมูลในไฟล์ทั้งสองโดยละเอียด พบว่าส่วนที่
แตกต่างกันนั้นคือ ส่วนของข้อมูลอ้างอิงที่จะ
เพิ่มเข้าไปเมื่อไฟล์ .torrent มีการน�ำไปใช้
งาน ซึ่งเป็นรูปแบบการท�ำงานปกติของระบบ
BitTorrent โดยเมื่อทดลองตัดข้อมูลในส่วนที่
เพิ่มนี้ออกก็พบว่ามีข้อมูลตรงกับไฟล์.torrent
ที่อยู่ในเครื่อง BitTorrent Server ทุกประการ
จึงสรุปได้ว่าไฟล์ .torrent ที่น�ำมาตรวจพิสูจน์
เป็นไฟล์ดาวน์โหลดมาจากเว็บไซต์BitTorrent
Server ที่ได้รับการอ้างถึงจริง
ในการตรวจพิสูจน์ว่าไฟล์.torrentที่ได้รับ
มาสามารถน�ำไปสู่การดาวน์โหลดเพลงละเมิด
ลิขสิทธิ์ได้หรือไม่นั้น ศูนย์ดิจิทัลฟอเรนสิกส์ได้
ตรวจสอบข้อมูลของไฟล์ .torrent ที่ได้รับมา
ตรวจสอบก็พบว่ามีการระบุชื่อไฟล์.mp3รวม
ถึงขนาดของไฟล์.mp3เอาไว้ในไฟล์.torrent
อย่างชัดเจน และตรงกับข้อมูลของไฟล์เพลง
ละเมิดลิขสิทธิ์ ที่ระบุว่าสามารถดาวน์โหลด
ได้โดยใช้ไฟล์ .torrent ดังกล่าว จึงสรุปได้
ว่า ไฟล์ .torrent ที่อยู่ในเครื่อง BitTorrent
Server และที่ผู้เสียหายดาวน์โหลดมาจาก
เว็บไซต์ดังกล่าว สามารถใช้ดาวน์โหลดเพลง
ละเมิดลิขสิทธิ์ได้จริง
ศูนย์ดิจิทัลฟอเรนสิกส์ได้สรุปข้อมูลและ
ส่งผลการตรวจพิสูจน์ไปยังหน่วยงานที่ร้องขอ
เพื่อใช้ในการด�ำเนินคดีตามกฎหมายต่อไป
จากการตรวจพิสูจน์พยานหลักฐานในกรณีนี้
ท�ำให้ศูนย์ดิจิทัลฟอเรนสิกส์มีประสบการณ์
ในการตรวจวิเคราะห์ข้อมูลในไฟล์ .torrent
และสามารถตรวจวิเคราะห์ข้อมูลในเครื่อง
BitTorrent Server เพื่อหาข้อมูลที่เกี่ยวข้อง
กับการดาวน์โหลดหรือแลกเปลี่ยนไฟล์ที่อาจ
เกี่ยวข้องกับการละเมิดลิขสิทธิ์ได้ในอนาคต

76. 76
บทที่ 4.
การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร์

77. 77
4.1 ประชุม อบรม
สัมมนา และกิจกรรม
อื่น ๆ
การพัฒนาศักยภาพบุคลากรให้พร้อม
รับมือภัยคุกคามไซเบอร์เป็นภารกิจที่ไทยเซิร์ต
ให้ความส�ำคัญและสนับสนุนอย่างต่อเนื่องเช่น
การพัฒนาขีดความสามารถของเจ้าหน้าที่ไอที
หน่วยงานรัฐ การส่งผู้แทนเข้าร่วมการประชุม
สัมมนาในระดับนานาชาติในนามประเทศไทย
การอาสาเป็นเจ้าภาพเพื่อพัฒนาบุคลากรทั้งนี้
ไทยเซิร์ต ได้ส่งผู้แทนเข้าร่วมการประชุมทาง
ด้านความมั่นคงปลอดภัยในกรอบความร่วม
มือระหว่างประเทศ ซึ่งครอบคลุมทั้งในระดับ
ปฏิบัติการ ผู้บริหารระดับกรม และรัฐมนตรี
ดังต่อไปนี้

78. 78
4.1.1 ประชุมและสัมมนาที่ไทยเซิร์ต
เข้าร่วม
การประชุมคณะ
กรรมการความมั่นคง
ปลอดภัยไซเบอร์แห่งชาติ
ครั้งที่ 1
ไทยเซิร์ต ให้การสนับสนุนข้อมูลเชิง
เทคนิคแก่ฝ่ายเลขานุการคณะกรรมการความ
มั่นคงปลอดภัยไซเบอร์แห่งชาติ ในการจัดการ
ประชุมคณะกรรมการฯครั้งที่1/2556เมื่อวัน
ที่ 11 มิถุนายน 2556 ซึ่งมีนายกรัฐมนตรีเป็น
ประธานในฐานะที่ไทยเซิร์ตเป็นกลไกหลักของ
ประเทศไทยด้านความมั่นคงปลอดภัยของสังคม
ออนไลน์และเป็นศูนย์กลางในการประสานความ
ร่วมมือกับเครือข่าย CERT ทั่วโลก นอกจากนี้
ไทยเซิร์ต ยังได้เสนอรูปแบบขั้นตอนการแจ้ง
และรับมือเหตุภัยคุกคาม ที่กระทบต่อความ
มั่นคงปลอดภัยทางด้านสารสนเทศจ�ำนวน 4
ขั้นตอนที่ได้น�ำมาจากหลักเกณฑ์ตามกฎหมาย
และประสบการณ์ต่าง ๆ เช่น จากการด�ำเนิน
งานของCERTทั่วโลกประกอบด้วยขั้นตอน1)
การรับแจ้งเหตุ 2) การวิเคราะห์และประเมิน
ผลเบื้องต้น 3) การรายงานเหตุภัยคุกคามต่อ
ระดับนโยบาย 4) การยืนยันผลวิเคราะห์และ
การติดตามผลซึ่งที่ประชุมคณะกรรมการฯได้
เห็นชอบตามที่เสนอ
APCERT Annual
General Meeting
Conference 2013
Asia Pacific Computer Emergency
Response Team หรือ APCERT เป็นเครือ
ข่ายหน่วยงานCERTระดับประเทศในภูมิภาค
เอเชีย-แปซิฟิก ซึ่งไทยเซิร์ตก็เป็นหนึ่งในสิบ
หน่วยงานที่ร่วมกันก่อตั้ง APCERT เมื่อปี
2546ส�ำหรับการประชุมของสมาชิกAPCERT
ประจ�ำปี2556นี้จัดขึ้นที่เมืองบริสเบนประเทศ
ออสเตรเลียในเดือนมีนาคม 2556 โดยมี
ผู้แทนจากหน่วยงานCERTของแต่ละประเทศ
รวมถึง ไทยเซิร์ต เข้าร่วมประชุมเพื่อน�ำเสนอ
เหตุภัยคุกคามในภาพรวมที่แต่ละหน่วยงาน
ได้พบและประสานงานเพื่อแก้ไขตลอดปีที่
ผ่านมา รวมถึงแนวทางปฏิบัติและเครื่องมือ

79. 79
ต่าง ๆ ที่มีประโยชน์ต่อการพัฒนาการรับมือ
ภัยคุกคามอย่างมีประสิทธิภาพ นอกจากนี้
ยังมีผู้แทนจากหน่วยงานภาครัฐ ภาคเอกชน
และองค์กรอิสระ เช่น APNIC, Microsoft
และ Australian Federal Police เข้าร่วม
บรรยาย แลกเปลี่ยนความรู้ ความคิดเห็น
และประสบการณ์ ในหัวข้อที่เกี่ยวข้องกับ
วิวัฒนาการของภัยคุกคามด้านสารสนเทศ
ตั้งแต่สิ่งที่พบในอดีต จนถึงแนวโน้มที่จะเกิด
ขึ้นในอนาคต เพื่อเตรียมความพร้อมและ
พัฒนาศักยภาพในการเฝ้าระวัง และรับมือ
เหตุภัยคุกคาม
The 47th
and 48th
Meetings of the
Telecommunications
and Information Wroking
Group (APEC TEL 47
APEC TEL 48)
ไทยเซิร์ตได้รับมอบหมายให้ปฏิบัติหน้าที่
ในนาม สพธอ. เดินทางพร้อมกับคณะผู้แทน
ประเทศไทย เข้าร่วมการประชุมคณะท�ำงาน
เอเปคด้านโทรคมนาคมและสารสนเทศ(APEC
Telecommunications and Information
Working Group หรือ APEC TEL WG) ครั้งที่
47ที่อินโดนีเซียเมื่อเดือนเมษายน2556และ
ครั้งที่ 48 ที่สหรัฐอเมริกา เมื่อเดือนกันยายน
2556 โดยได้รับมอบหมายจากกระทรวง
เทคโนโลยีสารสนเทศและการสื่อสาร ให้
รับผิดชอบการประชุมกลุ่มย่อย Security
and Prosperity Steering Group (SPSG)
และปฏิบัติหน้าที่รองประธาน SPSG ในฐานะ
ตัวแทนประเทศไทยโดยมีวาระครองต�ำแหน่ง
เป็นเวลา 2 ปี ผู้แทนไทยเซิร์ตได้ร่วมเป็น
วิทยากรบรรยายCybercrimeExpertsGroup
การเข้าร่วมแสดงความคิดเห็นในการประชุม
เชิงปฏิบัติการ Security of Mobile Device
Workshop และ Comparing Approach to
Botnet Prevention, Identification and
Mitigation Workshop เป็นต้น
The 2nd
ASEAN Network
Security Action Council
(ANSAC)
การประชุม ASEAN Network Security
Action Council หรือ ANSAC เมื่อวันที่ 19
สิงหาคม 2556 ที่เมืองมานาโด ประเทศ
อินโดนีเซีย เป็นอีกเวทีการประชุมที่ทีม CERT
ของภูมิภาคอาเซียนได้มีโอกาสร่วมแสดงความ
คิดเห็นและเผยแพร่บทบาทของ CERT ในการ
ช่วยปกป้องรักษาความมั่นคงปลอดภัยของ
ระบบเครือข่ายของภูมิภาคอาเซียนร่วมกัน
ในการประชุม The 2nd
ANSAC นี้ ผู้แทน
ไทยเซิร์ต ได้นำ�เสนอข้อเสนอโครงการใหม่
“Common Incident Handling and
Escalation Framework” เพื่อผลักดันความ
ริเริ่มสองส่วนในอาเซียน คือ (1) การส�ำรวจข้อ
จ�ำกัดทางกฎหมาย ระเบียบปฏิบัติในการให้
ความร่วมมือกันในการรับมือภัยคุกคามใน
ระดับประเทศหรือภูมิภาค (2) การก�ำหนด
แนวปฏิบัติร่วมกันในการรับมือภัยคุกคามและ
การยกระดับการรับมือภัยคุกคาม เพื่อใช้เป็น
แนวทางส�ำหรับการรับมือภัยคุกคามร่วมกัน
ของอาเซียน รวมถึงเป็นแนวทางในการพัฒนา
แนวปฏิบัติในการรับมือภัยคุกคามสารสนเทศ
ส�ำหรับประเทศที่ยังไม่มีเพื่อพัฒนากรอบการ
ท�ำงานร่วมกันระหว่างหน่วยงานในอาเซียนใน
การรับมือกับเหตุการณ์ภัยคุกคามที่อาจส่งผลก
ระทบข้ามพรมแดน ซึ่งที่ประชุม ANSAC มีมติ
ให้ส�ำรวจข้อจ�ำกัดทางกฏหมายและระเบียบการ

80. 80
ปฏิบัติในกลุ่มประเทศอาเซียนที่ชัดเจนก่อนน�ำ
ข้อเสนอโครงการเข้ารับการพิจารณาในครั้งต่อไป
ทั้งนี้หากโครงการได้รับความเห็นชอบก็จะเป็นโอกาส
ให้ไทยเซิร์ตได้พัฒนากรอบนโยบาย Common
Incident Handling and Escalation สำ�หรับ
ใช้ร่วมกันในภูมิภาคอาเซียนต่อไป
The 5th
China Network
Security Seminar
การสัมมนา China-Asean Network
Security Seminar จัดขึ้นเป็นประจ�ำทุกปี
โดย CNCERT/CC ซึ่งเป็นหน่วยงาน CERT
ของสาธารณรัฐประชาชนจีนโดยมีจุดประสงค์
เพื่อสร้างเครือข่ายความร่วมมือ และแลก
เปลี่ยนข้อมูลข่าวสารด้านความมั่นคงปลอดภัย
สารสนเทศ ระหว่างประเทศจีนและประเทศ
ในอาเซียน การสัมมนาครั้งนี้จัดขึ้นเป็นครั้งที่
5 โดยมีหน่วยงาน CERT จาก 7 ประเทศใน
อาเซียนเข้าร่วม นอกจากหน่วยงานต่าง ๆ จะ
ได้มีโอกาสแลกเปลี่ยนข้อมูลและความรู้ซึ่งกัน
และกันแล้ว CNCERT/CC ยังได้จัดวิทยากร
ที่มีความรู้ความสามารถในด้านความมั่นคง
ปลอดภัยสารสนเทศ มาบรรยายให้ความรู้แก่
ผู้เข้าร่วมงานอีกด้วย
The Underground
Economy 2013 (UE13)
งานสัมมนาวิชาการ The Underground
Economy 2013 (UE13) ได้รับการสนับสนุน
จากหน่วยงานต�ำรวจสากล Interpol และ
Team Cymru ซึ่งเป็นหน่วยงานวิจัยด้าน
ความมั่นคงปลอดภัยไซเบอร์ที่ไม่แสวงหาผล
ก�ำไร ที่มีชื่อเสียงและเป็นที่รู้จักทั่วโลก โดย
จัดขึ้นเป็นประจ�ำทุกปี ที่ส�ำนักงานใหญ่ของ
Interpol ที่เมือง Lyon สาธารณรัฐฝรั่งเศส
เพื่อพัฒนาทักษะและความรู้ทางด้านความ
มั่นคงปลอดภัยไซเบอร์ และการตรวจพิสูจน์
พยานหลักฐานดิจิทัลในระดับสากลให้กลุ่มผู้
เชี่ยวชาญในสายยุติธรรมและผู้ที่เกี่ยวข้องใน
ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
ของประเทศ ไทยเซิร์ตได้รับคัดเลือกให้เป็น
ผู้แทนเข้าร่วมสัมมนาวิชาการ UE13 ซึ่งเป็น
ประโยชน์ต่อการด�ำเนินภารกิจของไทยเซิร์ต
ในด้านการพัฒนาองค์ความรู้ในเชิงวิชาการ
เทคนิคชั้นสูงเกี่ยวกับการรักษาความมั่นคง
ปลอดภัยไซเบอร์ อีกทั้งยังเป็นการสร้างเครือ
ข่ายกับกลุ่มผู้เชี่ยวชาญในสายยุติธรรมในระดับ
นานาชาติ เพื่อแลกเปลี่ยนประสบการณ์ใน
การรับมือภัยคุกคามฯ โดยเฉพาะภัยคุกคาม
รูปแบบใหม่ ๆ ที่มีแนวโน้มส่งผลกระทบและ
ความเสียหายต่อเศรษฐกิจและความเชื่อมั่น
ในการท�ำธุรกรรมอิเล็กทรอนิกส์ของประเทศ
ACID (ASEAN CERT
Incident Drill)
ASEAN CERT Incident Drill หรือ
ACID เป็นการซักซ้อมรับมือภัยคุกคามทาง
สารสนเทศ ระหว่างหน่วยงาน CERT ของประเทศ
ในภูมิภาคเอเชีย-แปซิฟิกที่จัดขึ้นเป็นประจำ�ทุกปี
เพื่อเตรียมความพร้อมในการรับมือเหตุภัย
คุกคามในสถานการณ์จริง และเป็นการสร้าง
เครือข่ายของหน่วยงาน CERT ในภูมิภาคให้
มีความแข็งแกร่ง โดยในปี 2556 ที่ผ่านมา
ไทยเซิร์ตและผู้แทนจากหน่วยงานCERTอื่นๆ
รวมทั้งสิ้นกว่า14หน่วยงานเข้าร่วมการซักซ้อม
ที่จัดขึ้นโดยSingCERTประเทศสิงคโปร์ภายใต้
สถานการณ์จ�ำลองที่เกี่ยวข้องกับเหตุการณ์การ
โจมตีเว็บไซต์และการเผยแพร่มัลแวร์ซึ่งจะต้อง
อาศัยความรู้และทักษะในเชิงเทคนิค ไม่ว่าจะ
เป็นการวิเคราะห์ล็อกของระบบ การวิเคราะห์
พฤติกรรมของมัลแวร์ รวมถึงการประสานงาน

81. 81
ไปยังผู้ที่เกี่ยวข้องเพื่อขอข้อมูลเพิ่มเติม และ
แจ้งรายละเอียดของเหตุภัยคุกคาม เพื่อให้
ผู้ที่เกี่ยวข้องด�ำเนินการแก้ไขปัญหา
Black Hat USA
2013 DEFCON 21
Conferences
Black Hat USA 2013 และ DEFCON
21Conferenceเป็นงานประชุมประจ�ำปีด้าน
ความมั่นคงปลอดภัยไซเบอร์ ที่มีเหล่าบรรดา
ผู้เชี่ยวชาญด้าน Computer Security ทั่วโลก
มารวมตัวกัน เพื่อแลกเปลี่ยนความรู้และรับ
ฟังการบรรยายในหัวข้อต่าง ๆ ที่เป็นประเด็น
เด่นที่น่าสนใจเกี่ยวกับความมั่นคงปลอดภัย
ไซเบอร์โดยทั้งสองงานจัดขึ้นต่อเนื่องกันในช่วง
เดือนสิงหาคม2556ที่ลาสเวกัสสหรัฐอเมริกา
และเป็นอีกครั้งที่ไทยเซิร์ต ได้มีโอกาสส่ง
ผู้แทนเข้าร่วมงานดังกล่าว เพื่อเพิ่มพูนความรู้
ทางด้านความมั่นคงปลอดภัยไซเบอร์ในระดับ
ผู้เชี่ยวชาญโดยเฉพาะข้อมูลภัยคุกคามรูปแบบ
ใหม่ ๆ และน�ำความรู้ที่ได้กลับมาถ่ายทอดให้
กับทีมงานและผู้ที่เกี่ยวข้องได้รับทราบ เพื่อให้
เกิดประโยชน์ต่อการด�ำเนินงานของไทยเซิร์ต
ในการพัฒนาองค์ความรู้ในเชิงวิชาการเทคนิค
ชั้นสูงเกี่ยวกับการรักษาความมั่นคงปลอดภัย
ไซเบอร์
14th
ASEAN
Telecommunications
and IT Senior
Officials Meeting:
(ASEAN TELSOM)
และ 13th
ASEAN
Telecommunications
and IT Ministers
Meeting: (ASEAN
TELMIN)
ไทยเซิร์ตได้มีโอกาสติดตามผู้บริหารระดับ
สูงของกระทรวงเทคโนโลยีสารสนเทศและ
การสื่อสาร เข้าร่วมการประชุมและสนับสนุน
ข้อมูลทางเทคนิคให้แก่ท่านรัฐมนตรีและปลัด
กระทรวงฯ ในการประชุม ASEAN TELSOM
และ TELMIN ซึ่งเป็นเวทีการประชุมระหว่าง
รัฐมนตรีของอาเซียน (TELMIN) และผู้บริหาร
ระดับสูงของอาเซียน (TELSOM) ที่รับผิดชอบ
ด้าน Telecommunication และ IT จัดขึ้นใน
เดือนพฤศจิกายน 2556 ที่สิงคโปร์ โดยผู้แทน
ไทยเซิร์ต ได้รายงานผลการดำ�เนินโครงการใน
ความรับผิดชอบของ สพธอ. ได้แก่ โครงการ
Intra-ASEAN Secure Transactions
Framework ให้ที่ประชุมได้รับทราบ
ซึ่งโครงการนี้เป็นกิจกรรมหนึ่งที่มีความส�ำคัญ
ภายใต้แผนแม่บทไอซีทีอาเซียน2015(ASEAN
ICT Masterplan 2015) ซึ่งจะช่วยให้การท�ำ
ธุรกรรมทางอิเล็กทรอนิกส์ระหว่างประเทศ
อาเซียนมีความมั่นคงปลอดภัย

82. 82
4.1.2 ศึกษาดูงาน
การศึกษาดูงานศูนย์
ปฏิบัติการด้านความมั่นคง
ปลอดภัยสารสนเทศของ
ประเทศเกาหลี ณ Korea
Internet Security
Agency (KISA) และ
Korea Post Information
Center (KPIC)
ภารกิจหลักที่ส�ำคัญหนึ่งของไทยเซิร์ต
คือการเฝ้าระวังสถานการณ์ และประสาน
งานแก้ไขร่วมกับหน่วยงานที่เกี่ยวข้อง ใน
กรณีที่เกิดเหตุภัยคุกคาม ไทยเซิร์ตจึงได้
วางแผนการสร้างศูนย์ปฏิบัติการด้านความมั่นคง
ปลอดภัยสารสนเทศ (Security Operation Center
หรือ SOC) ขึ้น ณ สำ�นักงานแห่งใหม่ของ สพธอ.
เพื่อรองรับและขยายขีดความสามารถในการ
ปฏิบัติงานดังกล่าวในอนาคต อย่างไรก็ตาม
ปัจจุบันในประเทศไทย ยังไม่มีศูนย์ปฏิบัติ
การด้านความมั่นคงปลอดภัยสารสนเทศที่มี
ความทันสมัย และมีระบบบริหารจัดการที่มี
มาตรฐานทัดเทียมกับประเทศชั้นน�ำในต่าง
ประเทศ ดังนั้น กรรมการบริหาร ที่ปรึกษา
ผู้อ�ำนวยการ สพธอ. รวมถึงเจ้าหน้าที่ของ
ไทยเซิร์ต จึงได้เดินทางไปเยี่ยมชมศูนย์ปฏิบัติ
การฯ ของ Korea Internet Security
Agency หรือ KISA และ Korea Post
Information Center หรือ KPIC ณ ประเทศ
เกาหลีใต้เพื่อศึกษาและเรียนรู้หลักแนวคิดใน
การพัฒนา โครงสร้างของศูนย์ปฏิบัติการฯ ทั้ง
ในด้านกายภาพและการบริหารจัดการแล้วน�ำ
ข้อมูลที่ได้มาศึกษาค้นคว้าเพิ่มเติม เพื่อน�ำมา
ปรับใช้กับการสร้างศูนย์ปฏิบัติการ SOC ของ
ไทยเซิร์ต ต่อไป
สังเกตการณ์การซักซ้อม
รับมือภัยคุกคามทางไซเบอร์
Cyber Offensive and
Defensive Exercise
(CODE) Program ประเทศ
ไต้หวัน
ไทยเซิร์ต ได้รับเชิญเป็นแขกกิตติมศักดิ์
เข้าร่วมสังเกตการณ์ การซักซ้อมรับมือภัย
คุกคาม Cyber Offensive and Defensive
Exercise (CODE) Program ระหว่างวันที่

83. 83
2-5 ธันวาคม 2556 ร่วมกับผู้สังเกตการณ์
จากมาเลเซีย สาธารณรัฐสโลวัก และ
สหรัฐอเมริกา ผู้แทนไทยเซิร์ตมีโอกาสได้สังเกต
การซักซ้อมและเตรียมความพร้อมต่อภัยคุกคาม
ทางไซเบอร์ทั้ง Red Team และ Blue Team
ของหน่วยงานภาครัฐครั้งใหญ่ของประเทศไต้หวัน
มีการทดสอบทั้งแบบ Table Top และ Live-
Action Exercie และยังได้มีโอกาสเยี่ยมดูงาน
หน่วยงานที่ส�ำคัญเช่นNationalInformation
and Communication Security Taskforce
(NICS), The Investigation Bureau of the
MinistryofJustice,TheFiscalInformation
Agency, Ministry of Finance, National
PoliceAgencyและCriminalInvestigation
Bureau ท�ำให้ไทยเซิร์ตได้เก็บเกี่ยวความรู้
และประสบการณ์หลาย ๆ ด้านจากมุมมอง
ของหน่วยงานด้านความมั่นคงปลอดภัยของ
ประเทศไต้หวัน ซึ่งสามารถน�ำมาเป็นตัวอย่าง
ในการประยุกต์ใช้ปรับปรุงแนวปฏิบัติภายใน
ของไทยเซิร์ตให้ดีและสมบูรณ์ยิ่งขึ้น
4.1.3 กิจกรรมที่ไทยเซิร์ตเป็นเจ้าภาพ
เจ้าภาพจัดการประชุม 25th
Annual FIRST Conference
ในปี 2556 ไทยเซิร์ต ได้รับเกียรติให้
เป็นเจ้าภาพร่วมจัดงานสัมมนาและประชุม
ประจ�ำปีของForumofIncidentResponse
and Security Teams หรือ FIRST ครั้ง
ที่ 25 (25th
Annual FIRST Conference
2013) ในระหว่างวันที่ 16 – 21 มิถุนายน
2556 ณ โรงแรมคอนราด กรุงเทพมหานคร
โดยนายกรัฐมนตรี ในฐานะที่เป็นประธาน
คณะกรรมการความมั่นคงปลอดภัยไซเบอร์
แห่งชาติ ได้เดินทางมาเป็นประธานเปิดงาน
การประชุมในครั้งนี้ ถือเป็นเวทีส�ำคัญด้าน
การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย
มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์
มากกว่า 500 คนจาก CERT ในระดับประเทศทุก
ภูมิภาคทั่วโลกมากกว่า 300 องค์กรเข้าร่วมงาน
เพื่อแลกเปลี่ยนความรู้ ความคิดเห็น แนว
โน้มภัยคุกคามรูปแบบใหม่ ๆ และการพัฒนา
ระบบการรักษาความมั่นคงปลอดภัยในระดับ
สากล รวมถึง การน�ำเสนอข้อมูลเชิงวิชาการ
และเครื่องมือสารสนเทศ ซึ่งจะเป็นประโยชน์
ในการน�ำมาปรับปรุง และพัฒนาการด�ำเนิน
งานของ CERT ให้สอดคล้องกับแนวทางใน
ระดับสากลมากขึ้นนอกจากนี้ยังเป็นการสร้าง
เครือข่ายและกระชับความสัมพันธ์ระหว่างผู้
ปฏิบัติงานของ CERT รวมถึงสร้างโอกาสให้
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์
ของประเทศไทยได้พบปะหารือกับผู้เชี่ยวชาญ
ในระดับนานาชาติเพื่อแลกเปลี่ยนประสบการณ์
การจัดงานประชุมในครั้งนี้ ส่งผลให้ไทยเซิร์ต
เป็นที่รู้จักในเวทีนานาชาติและมีความราบรื่นใน
การประสานงานรับมือภัยคุกคามมากขึ้น อีก
ทั้งยังเป็นการช่วยกระตุ้นให้คนไทยตระหนักถึง
ความส�ำคัญของ Cybersecurity และเป็นการ
แสดงศักยภาพของประเทศในการจัดการประชุม
ระดับนานาชาติ สร้างภาพลักษณ์ที่ดีให้กับ
ประเทศไทย รวมทั้งเป็นการกระตุ้นเศรษฐกิจ
ในระดับท้องถิ่นของประเทศอีกทางหนึ่งด้วย

84. 84
เจ้าภาพการซักซ้อมรับมือ�
ภัยคุกคามของหน่วยงาน
ภาครัฐและภาคธนาคาร
ประจำ�ปี 2556
การซักซ้อมรับมือภัยคุกคามหรือ Cyber
Drillเป็นการเตรียมความพร้อมให้กับหน่วยงาน
ในการรับมือภัยคุกคามที่อาจเกิดขึ้นภายใน
หน่วยงาน และช่วยให้หน่วยงานรับทราบถึง
กระบวนการในการรับมือที่เหมาะสม โดยผู้
เข้าร่วมจะต้องวิเคราะห์เหตุภัยคุกคาม และ
ประสานงานไปยังหน่วยงานที่เกี่ยวข้องภาย
ใต้สถานการณ์จ�ำลองที่ก�ำหนดขึ้นในปี 2556
ไทยเซิร์ต ได้จัดการซักซ้อมรับมือภัยคุกคาม
2 ครั้ง ร่วมกับหน่วยงานของรัฐ 26
หน่วยงาน และกลุ่มธนาคาร 16 แห่ง
ซึ่งในปีนี้ได้จ�ำลองเหตุภัยคุกคามที่เกี่ยวข้องกับ
การเผยแพร่มัลแวร์บนเว็บไซต์ ซึ่งมีทั้งมัลแวร์
ที่ท�ำงานบนระบบปฏิบัติการ Windows และ
Androidผู้เข้าร่วมได้รับการฝึกให้วิเคราะห์หา
ต้นเหตุสถานการณ์ภัยคุกคามจากหลักฐานที่
ตรวจพบภายในอุปกรณ์เครือข่าย เซิร์ฟเวอร์
และเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ ที่ทีม
ไทยเซิร์ตจ�ำลองขึ้นมา รวมถึงวิเคราะห์
พฤติกรรมการท�ำงานของมัลแวร์ เพื่อรวบรวม
ข้อมูลในการประสานงาน แจ้งเหตุไปยัง
หน่วยงานที่เกี่ยวข้อง ให้ด�ำเนินการแก้ไขต่อ
ไป ทั้งนี้คาดหวังว่าหน่วยงานที่เข้าร่วมซักซ้อม
รับมือภัยคุกคามจะสามารถน�ำความรู้ที่ได้รับ
ไปเผยแพร่ต่อไปในหน่วยงานของตนเอง เพื่อ
ให้หน่วยงานรัฐและธนาคารอันเป็นโครงสร้าง
พื้นฐานส�ำคัญของประเทศมีความเข้มแข็งและ
มั่นคงปลอดภัย
เจ้าภาพจัดการฝึกอบรม
และสอบวัดระดับเพื่อพัฒนา
มาตรฐานการรับรอง
บุคลากรด้านความมั่นคง
ปลอดภัยระบบสารสนเทศ
ของประเทศไทย
ในเดือนพฤษภาคม 2556 ไทยเซิร์ต ได้
ร่วมมือกับ Thailand Information Security
AssociationหรือTISAซึ่งเป็นสมาคมของกลุ่ม
นักวิชาชีพด้านความมั่นคงปลอดภัยสารสนเทศ
ในประเทศไทย จัดการฝึกอบรมและสอบวัด
ระดับด้านความมั่นคงปลอดภัยสารสนเทศรุ่น
ที่ 1 โดยมีวัตถุประสงค์เพื่อก�ำหนดและพัฒนา
มาตรฐานการรับรองสมรรถนะของบุคลากรด้าน
ความมั่นคงปลอดภัยสารสนเทศภายในประเทศ
ผู้ที่สอบผ่านจะได้ใบรับรอง Information
Security Expert Certification หรือ iSEC
โดยแบ่งออกเป็น 2 กลุ่ม ได้แก่ ผู้เชี่ยวชาญ
ด้านความมั่นคงปลอดภัยสารสนเทศ ด้านการ
บริหารจัดการ (iSEC-M) และผู้เชี่ยวชาญด้าน
ความมั่นคงปลอดภัยสารสนเทศ ด้านเทคนิค
(iSEC-T) และในแต่ละกลุ่มยังแบ่งออกเป็น
3 ระดับ ซึ่งใบรับรอง iSEC ในแต่ละระดับ
จะมีเกณฑ์ในการเทียบกับใบรับรองสากล
จากต่างประเทศ เช่น CISSP, CISA, CISM,
GSEC และ Security+ ผลการจัดกิจกรรมนี้มี
ผู้เข้าร่วมการฝึกอบรมและสอบวัดระดับจำ�นวน
124 คน จากหน่วยงานภาครัฐ ภาคเอกชน และ
บุคคลทั่วไป มีผู้ที่สอบผ่านได้ใบรับรอง iSEC-M
จำ�นวน 11 คน และ iSEC-T จำ�นวน 9 คน

85. 85
เจ้าภาพจัดการประชุม
The 3rd
ASEAN-Japan
Information Security
Policy Workshop
ไทยเซิร์ต ในนามประเทศไทยเป็น
เจ้าภาพจัดการประชุม ASEAN-Japan
Information Security Workshop 2013
ระหว่างวันที่ 7-8 กุมภาพันธ์ 2556 ที่
กรุงเทพฯ ร่วมกับกระทรวงสารสนเทศและ
การสื่อสาร (Ministry of Information and
Communication - MIC) ประเทศญี่ปุ่น เพื่อ
สร้างความร่วมมือด้านความมั่นคงปลอดภัย
ระหว่างประเทศในภูมิภาคอาเซียนและประเทศญี่ปุ่น
และเป็นเวทีให้ผู้เชี่ยวชาญด้านการรักษาความมั่นคง
ปลอดภัยในประเทศอาเซียน และญี่ปุ่นได้แลกเปลี่ยน
ความคิดเห็นและประสบการณ์ และเปิดโอกาสใน
การสร้างความความร่วมมือระหว่างประเทศ
เพื่อสร้างความร่วมมือในการรับมือภัยคุกคาม
นอกจากนี้ ไทยเซิร์ต และ MIC ยังใช้โอกาสนี้
ร่วมลงนามบันทึกข้อตกลงความร่วมมือ
โครงการ Proactive Response
Against Cyber-Attacks Through
International Collaborative Exchange
หรือที่เรียกสั้น ๆ ว่า โครงการ PRACTICE
ซึ่งเป็นความร่วมมือทางเทคนิค ในการเก็บ
รวบรวมข้อมูลจราจรคอมพิวเตอร์ และแลก
เปลี่ยนข้อมูลผลการวิเคราะห์ข้อมูลจราจร
คอมพิวเตอร์ ที่อาจเป็นภัยคุกคามต่อระบบ
เครือข่าย รวมทั้งการวิเคราะห์แนวโน้มและ
วิธีการรับมือภัยคุกคามด้านสารสนเทศอย่างมี
ประสิทธิภาพและการพัฒนาเทคนิคการป้องกัน
ภัยคุกคามด้านสารสนเทศในเชิงรุกร่วมกัน
เจ้าภาพร่วมกับ OWASP�
จัดงาน ETDA and
OWASP: Open Web
and Application
Security Day
ในเดือนกรกฎาคม 2556 ไทยเซิร์ตได้
ร่วมมือกับOpenWebApplicationSecurity
Project หรือ OWASP ซึ่งเป็นหน่วยงานไม่
แสวงผลก�ำไร ที่มีภารกิจหลักในการส่งเสริม
และพัฒนาความรู้ด้านความมั่นคงปลอดภัย
ของเว็บไซต์ ร่วมกันจัดการอบรมเชิงปฏิบัติ
การการพัฒนา Secure Web Application
ให้กับนักพัฒนาและผู้ดูแลเว็บไซต์ไทย โดยได้
รับเกียรติจากกรรมการบริหารของ OWASP
London Chapter เป็นวิทยากรมาบรรยาย
มุ่งเน้นหัวข้อการเรียนรู้ช่องโหว่และเทคนิคการ
โจมตีเว็บไซต์ที่พบเห็นในปัจจุบัน ดังที่รวบรวม
ไว้ใน OWASP Top 10 เช่น Injection,
Broken Authentication and Session
Management และ Cross-site Scripting
รวมถึงเทคนิคในการพัฒนาเว็บไซต์ให้มีความ
มั่นคงปลอดภัย ซึ่งจะเป็นการส่งเสริมให้นัก
พัฒนาและผู้ดูแลเว็บไซต์ของไทยมีความรู้และ
ทักษะในด้านการรักษาความมั่นคงปลอดภัย
ของเว็บไซต์ ส่งผลให้เกิดเหตุภัยคุกคามที่
เกี่ยวข้องกับเว็บไซต์ลดน้อยลงในอนาคต
ซึ่งกิจกรรมครั้งนี้ได้รับความสนใจ ทั้งจาก
หน่วยงานภาครัฐและรัฐวิสาหกิจเข้าร่วมงาน
ในครั้งนี้เป็นจ�ำนวนมาก

86. 86
เจ้าภาพร่วมกับ EC-Council
จัดการอบรมหลักสูตร
Certified Ethical Hacker
ภายหลังลงนามในบันทึกข้อตกลงความ
ร่วมมือระหว่าง ไทยเซิร์ต และ EC-Council
ซึ่งมีวัตถุประสงค์เพื่อส่งเสริม และพัฒนา
ทักษะด้านความมั่นคงปลอดภัยสารสนเทศ
ของบุคลากรภายในประเทศ สองหน่วยงาน
ก็ได้ร่วมกันเป็นเจ้าภาพ จัดการฝึกอบรมใน
หลักสูตร Certified Ethical Hacker หรือ
CEH ในเดือนสิงหาคม 2556 โดยได้รับเกียรติ
จากผู้เชี่ยวชาญของ EC-Council เป็นวิทยากร
ฝึกอบรมกับผู้แทนจากหน่วยงานภาครัฐหลาย
แห่ง เช่น กระทรวงเทคโนโลยีสารสนเทศและ
การสื่อสาร กรมสอบสวนคดีพิเศษ กองทัพ
เรือ กองทัพอากาศ กระทรวงสาธารณสุข
และธนาคารแห่งประเทศไทย ซึ่งผลการจัด
อบรมในครั้งนี้ก็ประสบผลส�ำเร็จ จากจ�ำนวน
ผู้ที่เข้ารับการฝึกอบรมรวมทั้งสิ้น 20 คน มี
ผู้ที่สามารถสอบผ่านและได้ประกาศนียบัตร
CEH จ�ำนวน 18 คน
เจ้าภาพร่วมกับ JPCERT
ฝึกอบรมด้านความมั่นคง
ปลอดภัยสารสนเทศให้กับ
LaoCERT
สืบเนื่องจากการลงนามในบันทึกข้อ
ตกลงความร่วมมือด้านการพัฒนาทักษะและ
ศักยภาพของบุคลากร ระหว่าง ไทยเซิร์ต
และ LaoCERT ในเดือนกรกฎาคม 2556
เพื่อประสานงานรับมือ และแก้ไขปัญหาเหตุ
ภัยคุกคาม วิศวกรของไทยเซิร์ตได้รับเชิญให้
เป็นวิทยากรร่วมกับเจ้าหน้าที่ของ JPCERT/
CC ประเทศญี่ปุ่น ในการอบรมภายใต้หัวข้อ
Basic Understanding of CSIRT and
Incident Response Training ณ สปป. ลาว
ในเดือนตุลาคม 2556 โดยเจ้าหน้าที่ของ
ไทยเซิร์ต ได้เป็นผู้บรรยายในหัวข้อหลักการ
และความรู้พื้นฐานของการรักษาความมั่นคง
ปลอดภัยสารสนเทศ รวมถึงเป็นผู้อบรมเชิง
ปฏิบัติการในการติดตั้งและใช้งานระบบบันทึก
และติดตามการแจ้งเหตุภัยคุกคาม

87. 87
ITU Telecom World
2013
ผู้อำ�นวยการ สพธอ. ได้รับเชิญให้เข้าร่วม
บรรยายและอภิปรายในหัวข้อ “Mobile Security
Challenge and Policy in ASEAN” ในงานประชุม
สัมมนาระดับโลก ITU Telecom World 2013
กรุงเทพ ซึ่งเป็นงานประชุมประจ�ำปีของ
สหภาพโทรคมนาคมระหว่างประเทศ หรือ
InternationalTelecommunicationUnion
ที่มีผู้สนใจเข้าร่วมงานทั้งคนไทยและต่างชาติ
กว่า 20,000 คน จากกว่า 700 องค์กร 193
ประเทศ เนื้อหาสรุปของการอภิปรายโดย
ผู้อ�ำนวยการ สพธอ. นั้น ได้คาดการณ์
ถึงแนวโน้มของการใช้งาน โทรศัพท์มือถือ
และบริการสื่อสังคมออนไลน์ที่เพิ่มขึ้นใน
ประเทศไทย รูปแบบภัยคุกคามที่เคยเกิดขึ้น
และส่งผลกระทบต่อผู้ใช้งานสมาร์ตโฟน และ
ภารกิจของ ไทยเซิร์ต สพธอ. ในด้านการรักษา
ความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งถือเป็น
กลไกหนึ่งที่ส�ำคัญหนึ่ง ในการเฝ้าระวังและ
สร้างภูมิคุ้มกันให้กับสังคมออนไลน์ของประเทศ
ven

88. 88
4.2 ประกาศนียบัตร
วิชาชีพด้านความมั่นคง
ปลอดภัยไซเบอร์
บุคลากรไทยเซิร์ตได้รับประกาศนียบัตร
วิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ที่ได้
รับการยอมรับในระดับสากลในสาขาต่าง ๆ
เฉพาะในปี 2556 รวมทั้งสิ้น 25 ใบ
สาขา ประกาศนียบัตร สถาบัน จ�ำนวน
Security
Administration
GIAC Security Essentials (GSEC)
Global Information Assurance
Certification (GIAC)
1
GIAC Certified Intrusion Analyst (GCIA) 1
GIAC Penetration Tester (GPEN) 1
Security+ CompTIA 8
Certified Ethical Hacker (CEH) EC-Council 1
Forensics
GIAC Certified Forensic Examiner (GCFE)
Global Information Assurance
Certification (GIAC)
2
AccessData Certified Examiner
AccessData
2
AccessData Mobile Examiner 2
EnCase Certified Examiner (EnCE) Guidance Software 1
Certified Forensic Computer Examiner (CFCE)
International Association
of Computer Investigative
Specialists (IACIS)
1
Management
Certified Information Systems Security
Professional (CISSP)
International Information
Systems Security Certification
Consortium (ISC)²
3
Audit ISMS Lead Auditor
International Register of
Certificated Auditors (IRCA)
2
ตารางที่ 5
ประกาศนียบัตรวิชาชีพด้านความมั่นคง
ปลอดภัยไซเบอร์ที่บุคลากร ThaiCERT ได้รับ

89. 89
GIAC Security Essentials (GSEC)
เป็นประกาศนียบัตรส�ำหรับผู้เชี่ยวชาญด้าน
ความมั่นคงปลอดภัยที่ครอบคลุมเนื้อหาที่
หลากหลาย ผู้ได้รับประกาศนียบัตรต้องมี
ความรู้ความเข้าใจในด้านความมั่นคงปลอดภัย
สารสนเทศและพร้อมจะน�ำไปใช้ปฏิบัติงานใน
หน่วยงานได้จริง
GIAC Certified Intrusion Analyst
(GCIA)เป็นประกาศนียบัตรส�ำหรับผู้เชี่ยวชาญ
ที่มีความรู้ และทักษะความสามารถในการติด
ตั้งปรับแต่งและเฝ้าติดตามระบบตรวจหาการ
บุกรุก ที่สามารถน�ำข้อมูลจราจรของระบบ
เครือข่ายมาแปลความหมายและวิเคราะห์ได้
อย่างมีประสิทธิภาพ
GIAC Penetration Tester (GPEN)
เป็นประกาศนียบัตรส�ำหรับผู้เชี่ยวชาญด้าน
ความมั่นคงปลอดภัยที่มีหน้าที่ในการประเมิน
ระบบเครือข่ายเป้าหมายเพื่อค้นหาช่องโหว่
ของระบบ โดยมีเนื้อหาครอบคลุมไปถึงการ
ทดสอบเจาะระบบ (Penetration Testing)
ข้อกฎหมายเกี่ยวกับการทดสอบเจาะระบบ
และการด�ำเนินการทดสอบเจาะระบบอย่าง
เหมาะสม รวมถึงเทคนิคต่าง ๆ ในการทดสอบ
เจาะระบบ
Security+เป็นประกาศนียบัตรด้านความ
มั่นคงปลอดภัยจาก CompTIA ที่พัฒนาขึ้นมา
ในปีพ.ศ.2545เพื่อทดสอบพื้นฐานความรู้ทาง
ด้านความมั่นคงปลอดภัยของระบบเครือข่าย
การใช้เครื่องมือ และขั้นตอนการด�ำเนินงาน
เพื่อตอบสนองต่อเหตุการณ์ด้านความมั่นคง
ปลอดภัย รวมไปถึงหัวข้อเชิงธุรกิจอย่างเช่น
การบริหารความเสี่ยงและการรับมือภัยคุกคาม
ทางสารสนเทศ
Certified Ethical Hacker (CEH)
เป็นประกาศนียบัตรส�ำหรับผู้เชี่ยวชาญในการ
ทดสอบเจาะระบบซึ่งออกโดย EC-Council
โดยเนื้อหา ครอบคลุมถึงเรื่องช่องโหว่ของ
ระบบ เทคนิคการโจมตี และเครื่องมือในการ
เจาะระบบที่รวบรวมมาจากชุมชนนักวิจัยด้าน
ความมั่นคงปลอดภัย
GIAC Certified Forensic Examiner
(GCFE)เป็นประกาศนียบัตรส�ำหรับผู้เชี่ยวชาญ
ที่มีความรู้ความเข้าใจในการวิเคราะห์พิสูจน์
หลักฐานทางคอมพิวเตอร์ โดยจะเน้นทักษะ
ส�ำคัญในการรวบรวมและวิเคราะห์ข้อมูลจาก
คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows
รวมไปถึงการจัดท�ำรายงาน การค้นหาและ
จัดเก็บหลักฐาน การตรวจค้นหลักฐานทาง
เบราว์เซอร์และการติดตามร่องรอยการท�ำงาน
ของผู้ใช้กับแอปพลิเคชันในระบบปฏิบัติการ
Windows
AccessData Certified Examiner
(ACE) เป็นประกาศนียบัตรจากบริษัท
AccessData เพื่อรับรองว่า ผู้เชี่ยวชาญมี
ความรู้พื้นฐาน เรื่องการตรวจพิสูจน์พยาน
หลักฐานดิจิทัล และมีความช�ำนาญในการใช้
งานโปรแกรม Forensic Toolkit (FTK) ของ
AccessData ในการตรวจพิสูจน์หลักฐาน
AccessData Mobile Examiner
(AME) เป็นประกาศนียบัตรจากบริษัท
AccessData เพื่อรับรองว่า ผู้เชี่ยวชาญมี
ความสามารถในการใช้งานโปรแกรม Mobile
Phone Examiner Plus (MEP+) และมีความ
รู้ความเข้าใจในกระบวนการท�ำงานของระบบ
โทรศัพท์มือถือและเทคโนโลยีต่างๆที่เกี่ยวข้อง
ส�ำหรับพิสูจน์พยานหลักฐานดิจิทัล

90. 90
EnCase Certified Examiner (EnCE)
เป็นประกาศนียบัตรเพื่อรับรองว่าผู้เชี่ยวชาญมี
ความสามารถในการใช้งานซอฟต์แวร์EnCase
ของบริษัท Guidance Software ในการตรวจ
พิสูจน์พยานหลักฐานทางดิจิทัล
Certified Forensic Computer
Examiner (CFCE) เป็นประกาศนียบัตรเพื่อ
รับรองว่า ผู้เชี่ยวชาญมีความสามารถหลาก
หลายในด้านการตรวจพิสูจน์พยานหลักฐานทาง
ดิจิทัลหรือคอมพิวเตอร์ ที่ใช้ระบบปฏิบัติการ
Windowsซึ่งใบรับรองนี้ออกให้โดยหน่วยงาน
International Association of Computer
Investigative Specialists (IACIS)
Certified Information Systems
Security Professional (CISSP) เป็น
ประกาศนียบัตรด้านการบริหารความมั่นคง
ปลอดภัยที่ได้รับการยอมรับทั่วโลกโดยมีหน่วย
งาน International Information Systems
Security Certification Consortium หรือ
ที่เรียกว่า (ISC)² เป็นผู้รับผิดชอบ และจัดเป็น
ประกาศนียบัตรด้านความมั่นคงปลอดภัยฉบับ
แรกที่ได้รับการรับรองตามมาตรฐานANSIISO/
IEC 17024:2003 นอกจากนี้แล้ว ยังได้รับการ
รับรองจากกระทรวงกลาโหมแห่งสหรัฐอเมริกา
ในด้าน Information Assurance Technical
(IAT) และ Managerial (IAM)
ISMSLeadAuditorเป็นประกาศนียบัตร
ที่หน่วยงาน IRCA ออกให้กับผู้เชี่ยวชาญ
ด้านความมั่นคงปลอดภัยสารสนเทศที่ผ่านการ
ทดสอบ ซึ่งจะต้องมีความรู้และทักษะที่จ�ำเป็น
ในการตรวจสอบ และประเมินระบบบริหาร
จัดการความมั่นคงปลอดภัยสารสนเทศของ
องค์กร ว่าสอดคล้องและเป็นไปตามมาตรฐาน
ISO 27001 หรือไม่
4.3 ข้อตกลงความ�
ร่วมมือกับหน่วยงาน�
ทั้งในและต่างประเทศ
เนื่องด้วย หนึ่งในแผนยุทธศาสตร์ของ
สพธอ. ปี 2555-2558 ต้องการส่งเสริมและ
สนับสนุนการเพิ่มทักษะ ด้านความมั่นคง
ปลอดภัยสารสนเทศให้แก่ผู้ประกอบการภาค
รัฐ ประชาชน และสนับสนุนการพัฒนากําลัง
คนระดับวิชาชีพให้เพียงพอกับความต้องการ
ของประเทศดังนั้นไทยเซิร์ตซึ่งอยู่ภายใต้การ
ก�ำกับของสพธอ.จึงได้มุ่งเน้นการพัฒนาความ
รู้และทักษะด้านความมั่นคงปลอดภัยและการ
ตรวจพิสูจน์หลักฐานทางดิจิทัลโดยเริ่มต้นจาก
บุคลากรของไทยเซิร์ตด้วยการส่งเสริมให้ได้รับ
ความรู้ และสอบประกาศนียบัตรวิชาชีพด้าน
ความมั่นคงปลอดภัยไซเบอร์ในระดับสากลรวม
ถึงการจัดฝึกอบรมให้กับบุคคลจากหน่วยงาน
ในหลายภาคส่วนซึ่งเป็นผลสืบเนื่องมาจากการ
ลงนามข้อตกลงความร่วมมือ(Memorandum
of Understanding: MoU) กับหน่วยงาน
ทั้งภายในและต่างประเทศ เพื่อเสริมสร้าง
ความแข็งแกร่งด้านความมั่นคงปลอดภัยทาง
สารสนเทศ ตลอดจนพัฒนาและยกระดับ
ความสามารถของผู้เชี่ยวชาญในประเทศ ส่ง
เสริมและสนับสนุนความร่วมมือในการป้องกัน
และแก้ไขปัญหาภัยคุกคามทางสารสนเทศ
ซึ่งจ�ำเป็นต้องใช้ทรัพยากรบุคคลที่มีคุณภาพ
ข้อมูลข่าวสารที่พร้อมและทันเหตุการณ์ รวม
ทั้งการประสานงานกันระหว่างหน่วยงาน โดย
ในปี 2555 ได้ลงนามบันทึกข้อตกลงความ
ร่วมมือกับ JPCERT/CC (Japan Computer
EmergencyResponseTeamCoordination
Center), APWG (Anti-Phishing Working
Group) และ Team Cymru และในปี 2556
ไทยเซิร์ต ได้ขยายเครือข่ายความร่วมมือกับ
หน่วยงาน ดังต่อไปนี้

91. 91
MIC (Ministry of
Internal Affairs and
Communications),
Japan
สืบเนื่องจากการหารือทวิภาคี ระหว่าง
ประเทศไทยและญี่ปุ่น ซึ่งรัฐมนตรีว่าการ
กระทรวงไอซีทีของไทย ได้ตอบรับเข้าร่วม
โครงการ Proactive Response Against
Cyber-attacks Through International
Collaborative Exchange หรือ PRACTICE
ในระหว่างการประชุมรัฐมนตรีเอเปคด้าน
โทรคมนาคมและอุตสาหกรรมสารสนเทศครั้ง
ที่ 9 ณ นครเซนต์ปีเตอร์สเบิร์ก สหพันธรัฐ
รัสเซีย สพธอ. ในฐานะที่เป็นตัวแทนของฝ่าย
ไทย จึงได้ลงนามในบันทึกข้อตกลงความร่วม
มือกับ Information and Communication
Bureau, Ministry of Internal Affairs
and Communications of Japan โดย
โครงการดังกล่าวมีวัตถุประสงค์หลัก คือ
การเก็บรวบรวมและวิจัยข้อมูลภัยคุกคาม เพื่อ
นำ�ไปพัฒนาวิธีการป้องกันและรับมือการโจมตี
Dixie State College
of Utah’s Southwest
Regional Computer
Crime Institute
(SWRCCI)
สืบเนื่องจากการลงนามบันทึกข้อตกลง
ความร่วมมือด้านดิจิทัลฟอเรนสิกส์ เมื่อต้น
ปี 2556 ไทยเซิร์ต ได้จัดกิจกรรมเพื่อรับการ
ถ่ายทอด เทคนิคดิจิทัลฟอเรนสิกส์ขั้นสูง
จากสถาบัน Computer Crime Insitute
ของ Dixie State University ในรัฐยูทาห์
สหรัฐอเมริกา โดยส่งบุคลากรจ�ำนวน 3 คน
เข้ารับการอบรมหลักสูตรการตรวจพิสูจน์พยาน
หลักฐานในโทรศัพท์เคลื่อนที่(MobilePhone
Forensics) และศึกษาดูงานการสอนหลัก
สูตรดิจิทัลฟอเรนสิกส์ในมหาวิทยาลัย Dixie
State University และเยี่ยมชมห้องปฏิบัติ
การของสถาบัน Computer Crime Institute
ด้วยความสัมพันธ์อันดีกับ Computer Crime
Institute ท�ำให้ได้มีโอกาสได้เข้าเยี่ยมชมห้อง
ปฏิบัติการดิจิทัลฟอเรนสิกส์ระดับชั้นนำ�เป็นกรณี
พิเศษ ได้แก่ Intermountain West Regional
Computer Forensics Laboratory ซึ่งเป็น
หนึ่งในห้องปฏิบัติการดิจิทัลฟอเรนสิกส์กลางของ
รัฐบาลสหรัฐอเมริกา และห้องปฏิบัติการดิจิทัล
ฟอเรนสิกส์ของบริษัท American Express
ท�ำให้ได้เก็บเกี่ยวความรู้ที่เป็นประโยชน์ต่อ
การพัฒนาประเทศไทยต่อไป

92. 92
EC-Council
ด้วยหนึ่งในภารกิจหลักของไทยเซิร์ตที่เป็น
ผู้ส่งเสริมและพัฒนาบุคลากรภายในประเทศให้
มีความรู้และความเชี่ยวชาญด้านการรักษาความ
มั่นคงปลอดภัยไทยเซิร์ตจึงได้ลงนามในบันทึก
ข้อตกลงความร่วมมือร่วมกับ EC-Council
หนึ่งในสถาบันอบรมด้านความมั่นคงปลอดภัย
สารสนเทศที่มีชื่อเสียงในระดับสากล เพื่อ
จัดฝึกอบรม และสอบรับรองประกาศนียบัตร
ด้านความมั่นคงปลอดภัยให้กับเจ้าหน้าที่
ของหน่วยงานภาครัฐโดยไม่คิดค่าใช้จ่าย
นอกจากนี้ สพธอ. หน่วยงานต้นสังกัดของ
ไทยเซิร์ต ยังได้รับเลือกให้เป็น Authorized
EC-Council Training Center หรือศูนย์จัด
ฝึกอบรมหลักสูตรของ EC-Council ที่ได้การ
รับรองในประเทศไทยอีกด้วย
LaoCERT
LaoCERT ในฐานะที่เป็นหน่วยงานใน
สาธารณรัฐประชาธิป ไตยประชาชนลาว
ที่มีภารกิจหลักเดียวกัน ไทยเซิร์ต ได้ตระหนัก
ถึงความส�ำคัญที่จะสร้างความร่วมมือกับ
LaoCERT ในการพัฒนาศักยภาพของบุคลากร
ให้มีความรู้ และความเชี่ยวชาญในการประสาน
งานและรับมือเหตุภัยคุกคามด้านสารสนเทศ เพื่อ
เสริมสร้างความแข็งแกร่งในการดูแลรักษาความ
มั่นคงปลอดภัย ของประเทศในภูมิภาคอาเซียน
จึงได้เกิดการลงนามในบันทึกข้อตกลงความ
ร่วมมือระหว่าง ไทยเซิร์ต และ LaoCERT
ขึ้น โดยในปีที่ผ่านมา วิศวกรของไทยเซิร์ต ได้
เดินทางไปบรรยายในการอบรมให้กับเจ้าหน้าที่
ของ LaoCERT ร่วมกับผู้แทนจาก JPCERT/
CC ประเทศญี่ปุ่น
สำ�นักงานตำ�รวจแห่งชาติ
เนื่องจากสถานการณ์เหตุภัยคุกคามด้าน
สารสนเทศที่เกิดขึ้น สามารถส่งผลกระทบ
ต่อความสงบสุขในสังคมและความมั่นคงของ
ประเทศ ไทยเซิร์ตเห็นถึงความส�ำคัญของ
การพัฒนาศักยภาพบุคลากร เทคนิคด้าน
การรักษาความมั่นคงปลอดภัย รวมถึงการ
พัฒนามาตรฐานด้านการตรวจพิสูจน์พยาน
หลักฐานดิจิทัล ซึ่งเป็นหนึ่งในส่วนงานหลัก
ของไทยเซิร์ต จึงได้ลงนามบันทึกข้อตกลง
ความร่วมมือกับส�ำนักงานต�ำรวจแห่งชาติเพื่อ
ส่งเสริม และผลักดันให้หน่วยงานและ
บุคลากรที่เกี่ยวข้อง มีความสามารถในการ
รับมือ ป้องกัน และแก้ไขเหตุภัยคุกคามที่ส่ง
ผลกระทบต่อความสงบสุขของสังคมและประเทศ
จากการบันทึกข้อตกลงความร่วมมือที่เกิดขึ้น
จะท�ำให้เกิดการถ่ายทอดความรู้ แลกเปลี่ยน
ข้อมูลทางวิชาการระหว่างหน่วยงาน รวมถึง
การจัดฝึกอบรมและสัมมนาด้านความมั่นคง

93. 93
ปลอดภัย โดยเฉพาะการตรวจพิสูจน์พยาน
หลักฐานดิจิทัล ซึ่งทั้งสองฝ่ายจะมีการประชุม
หารือร่วมกันเพื่อติดตามความคืบหน้า รวมถึง
การจัดท�ำและปรับปรุงการด�ำเนินงานภายใต้
ข้อตกลงความร่วมมือดังกล่าว
SANS Institute
ไทยเซิร์ตได้ลงนามในบันทึกข้อตกลงความ
ร่วมมือกับ SANS Institute ซึ่งเป็นสถาบัน
ฝึกอบรมและวิจัยด้านความมั่นคงปลอดภัย
สารสนเทศระดับนานาชาติ เพื่อส่งเสริมการ
พัฒนาบุคลากรด้านความมั่นคงปลอดภัย
ให้ทัดเทียมกับประเทศอื่น ๆ ในภูมิภาค
เดียวกัน ซึ่งจุดเด่นของหลักสูตร SANS นั้น
เป็นหลักสูตรที่ได้รับการยอมรับในระดับสากล
เนื่องจาก เป็นหลักสูตรที่มุ่งเน้นการให้ความรู้
ในเชิงเทคนิค และพัฒนาทักษะของผู้เข้ารับ
การอบรม ให้มีความรู้และความสามารถใน
การลงมือปฏิบัติท�ำงานจริง ทั้งนี้ ผลจากการ
ลงนามบันทึกข้อตกลงความร่วมมือดังกล่าว
ส่งผลให้เกิดการจัดอบรมในหลักสูตร Hacker
Techniques, Exploits Incident Handling
และสอบประกาศนียบัตร GIAC Certified Incident
Handler หรือ GCIH ขึ้นในประเทศไทยในปี 2557
โดยมีผู้ที่สนใจ ทั้งจากหน่วยงานภาครัฐและ
เอกชนเข้าร่วมการอบรมดังกล่าว

94. 94
บทที่ 5.
รายงาน CERTs ของประเทศสมาชิกอาเซียน+3

95. 95
จากรายงานประจำ�ปี 2012 ของ APCERT ซึ่งรายงานสถานะปัจจุบันและสถิติภัยคุกคามที่ได้รับจากหน่วยงาน CERT ในประเทศต่าง ๆ พบว่า APCERT ได้ระบุจำ�นวนสมาชิกของกลุ่ม
ประเทศของเครือข่ายความร่วมมือในภูมิภาคเอเชียแปซิฟิกทั้งสิ้น 30 หน่วยงานจาก 20 เขตเศรษฐกิจ โดยในจำ�นวนนี้เป็นหน่วยงาน CERT ที่รับมือและแก้ไขภัยคุกคามจากประเทศใน
อาเซียน+3 ทั้งสิ้น 11 หน่วยงานจาก 11 เขตเศรษฐกิจ ยกเว้น LaoCERT จากประเทศลาว และ CamCERT จากประเทศกัมพูชา ที่ยังไม่ได้เป็นสมาชิกของ APCERT
ตารางที่ 6 ข้อมูลของหน่วยงาน CERT ระดับประเทศในอาเซียน+3
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
Brunei Computer
Emergency Response
Team (BruCERT)
บรูไน หมายเลขโทรศัพท์: (+67)32-458-001
อีเมล: cert@brucert.org.bn
PGP Key
หมายเลขของกุญแจ (Key ID): 0x2C5D7296
ประเภทของกุญแจ (Key Type): DSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 1024
Fingerprint: 9D6C 609D 70B5 7FE0 BA8E B0CB 8856 C2A7 EA1E B592

96. 96
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
National Computer
network Emergency
Response technical Team
/ Coordination Center of
China People’s Republic
of China (CNCERT/CC)
จีน หมายเลขโทรศัพท์: (+86)108-299-1000
อีเมล: cncert@cert.org.cn
PGP Key
หมายเลขของกุญแจ (Key ID): 0x0C96458D
ประเภทของกุญแจ (Key Type): DSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 1024
Fingerprint: 5DE6 1B6F 23C3 EEDD AD8D 5B94 5D19 2284 0C96 458D
Indonesia Security Incident
Response Team on Internet
Infrastructure Coordination
Center (ID-SIRTII/CC)
อินโดนีเซีย หมายเลขโทรศัพท์: (+62)21-3192-5551
อีเมล: incident@idsirtii.or.id

97. 97
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
Japan Computer
Emergency Response
Team / Coordination
Center (JPCERT / CC)
ญี่ปุ่น หมายเลขโทรศัพท์: (+81)33-518-2178
อีเมล: info@jpcert.or.jp
PGP Key
หมายเลขของกุญแจ (Key ID): 0x69ECE048
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 2048
Fingerprint: FC89 53BB DC65 BD97 4BDA D1BD 317D 97A4 69EC E048
Korea Internet Security
Center (KrCERT/CC)
เกาหลีใต้ หมายเลขโทรศัพท์: (+82)24-055-424
อีเมล: first-team@krcert.or.kr
PGP Key
หมายเลขของกุญแจ (Key ID): 0x854702E3
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 2048
Fingerprint: FEC3 8E77 1430 5DA5 A39E 2ABE 215C A784 8547 02E

98. 98
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
Lao Computer Emergency
Response Team (LaoCERT)
ลาว หมายเลขโทรศัพท์: (+85)62-125-4150
อีเมล: report@laocert.gov.la
PGP Key
หมายเลขของกุญแจ (Key ID): 0xEA1EB592
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): 11 มิ.ย. 2560
ขนาดความยาว (Key size): 2048
Fingerprint: 9D6C 609D 70B5 7FE0 BA8E B0CB 8856 C2A7 EA1E B592
Malaysian Computer
Emergency Response
Team (MyCERT)
มาเลเซีย หมายเลขโทรศัพท์: (+60)19-266-5850
อีเมล: mycert@mycert.org.my
PGP Key
หมายเลขของกุญแจ (Key ID): 0x82B6ED71
ประเภทของกุญแจ (Key Type): DSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 1024
Fingerprint: 57CD C689 1B0E 0835 3BBD AF97 D010 0570 82B6 ED71

99. 99
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
National Cambodia
Computer Emergency
Response Team (CamCERT)
กัมพูชา หมายเลขโทรศัพท์: (+85)59-233-5536
อีเมล: incident@camcert.gov.kh
Philippine Computer
Emergency Response
Team (PHCERT)
ฟิลิปปินส์ หมายเลขโทรศัพท์: -
อีเมล: assistance@phcert.org
Singapore Computer
Emergency Response
Team (SingCERT)
สิงคโปร์ หมายเลขโทรศัพท์: (+65)62-110-911
อีเมล: cert@singcert.org.sg
PGP Key
หมายเลขของกุญแจ (Key ID): 0x8BC26BE9
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 1024
Fingerprint: AC79 09BD 3E7A 9F73 D664 FCC3 1409 24A0

100. 100
ชื่อหน่วยงาน ประเทศ ช่องทางรับแจ้ง
Thailand Computer
Emergency Response
Team (ThaiCERT)
ไทย หมายเลขโทรศัพท์: (+66) 2-123-1212
อีเมล: report@thaicert.or.th
PGP Key
หมายเลขของกุญแจ (Key ID): 0xF2CB3EE1
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): 2015-06-25
ขนาดความยาว (Key size): 2048
Fingerprint: 29B3 2C79 FB4A D4D7 E71A 71ED 5FFE F781 F2CB 3EE1
Vietnam Computer
Emergency Response
Team (VNCERT)
เวียดนาม หมายเลขโทรศัพท์: (+84) 93-442-4009
อีเมล: ir@vncert.vn
PGP Key
หมายเลขของกุญแจ (Key ID): 0x1F2AD964
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires): -
ขนาดความยาว (Key size): 2048
Fingerprint: 8A8E CCC4 7E0E BDAD 8A88 63B2 C9BC 60A5 1F2A D964
Myanmar Computer
Emergency Response
Team (mmCERT)
พม่า หมายเลขโทรศัพท์: (+95)650-891, (+92) 656-685
อีเมล: infoteam@mmcert.org.mm
PGP Key
หมายเลขของกุญแจ (Key ID): 0x47F84281
ประเภทของกุญแจ (Key Type): RSA
วันหมดอายุ (Expires):
ขนาดความยาว (Key size): 2048
Fingerprint: 34CD 3F92 6A41 01A7 6AFA A43F 08E5 371A 47F8 4281

101. 101
เมื่อวิเคราะห์สถานการณ์ด้านภัยคุกคามในแถบภูมิภาคอาเซียน+3 จากสถิติ
จ�ำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ได้รับแจ้ง จะเห็นได้ว่าใน
ปี 2555 หน่วยงาน CERT ของประเทศที่มีปริมาณการใช้ ICT สูงอย่างประเทศเกาหลีใต้
(KrCERT/CC) ประเทศจีน (CNCERT/CC) ประเทศญี่ปุ่น (JPCERT/CC) และประเทศ
มาเลเซีย (MyCERT) ยังคงรับแจ้งในปริมาณที่สูงมากกว่า 10,000 รายงาน โดยมีจุดที่
น่าสังเกตคือ KrCERT/CC ได้รับรายงานมากกว่าประเทศอื่น ๆ อย่างเห็นได้ชัด โดยได้
รับแจ้งกว่า 60,000 รายงาน มากกว่าจ�ำนวนรายงานของ CNCERT/CC ซึ่งอยู่ในอันดับ
ที่ 2 ถึง 3.5 เท่า ในขณะที่หน่วยงาน CERT ของประเทศเวียดนาม (VNCERT) ประเทศ
บรูไน (BruCERT) ประเทศอินโดนีเซีย (ID-SIRTII) และประเทศไทย (ThaiCERT) ได้รับ
แจ้งน้อยกว่า 3,000 รายการ
เมื่อเปรียบเทียบกับจ�ำนวนภัยคุกคามเมื่อปี 2554 จะพบว่าประเทศส่วนใหญ่ได้
รับรายงานภัยคุกคามเพิ่มขึ้น โดยเฉพาะ VNCERT, JPCERT/CC และ KrCERT/CC ที่
ได้รับแจ้งเพิ่มขึ้น 3.5 เท่า, 2.2 เท่าและ 1.8 เท่าตามล�ำดับ ในขณะที่ MyCERT และ
BruCERT ได้รับรายงานลดลง 34.4% และ 34.5% ตามล�ำดับ ส่วนกรณี ID-SIRTII ได้
รับแจ้งลดลงอย่างมากถึง 97.6% สาเหตุอาจมาจากการเปลี่ยนแปลงช่องทางการรับ
แจ้ง โดยเริ่มรับแจ้งภัยคุกคามผ่านช่องทางสาธารณะในปี 2555 ในขณะที่ปีก่อนหน้า
รับแจ้งผ่านช่องทางอื่น
BruCERT
ID-SIRTII
MyCERT
ThaiCERT
VNCERT
CNCERT/CC
JPCERT/CC
KrCERT/CC
2550 2551 2552 2553 2554 2555
10
100
1k
10k
100k
กราฟที่ 19 จ�ำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ของประเทศในอาเซียน+3
ได้รับแจ้งระหว่างปี 2550-2555

102. 102
เมื่อแบ่งประเภทของภัยคุกคามที่ถูกแจ้งเป็น 6 ประเภทหลักตามกราฟที่ 20 โดยชุดกราฟ
แท่งซ้ายของแต่ละประเทศเป็นข้อมูลของปี 2554 และชุดกราฟแท่งขวาของแต่ละประเทศ
เป็นข้อมูลของปี 2555 จะเห็นว่าประเภทภัยคุกคามที่ได้รับแจ้งสูงสุดในแต่ประเทศยังคงมี
ลักษณะคล้ายกับปี 2554 โดย BruCERT และ KrCERT/CC รับรายงานภัยคุกคามประเภท
Malicious Code มากที่สุด ในขณะที่ ไทยเซิร์ต, VNCERT, CNCERT/CC ยังคงได้รับรายงาน
ประเภท Fraud มากที่สุด อย่างไรก็ตาม มีรายงานภัยคุกคามบางประเภทได้รับแจ้งลดลงมาก
ในปี 2555 เมื่อเทียบกับปี 2554 เช่น กรณีที่เกือบทุกหน่วยงาน CERT ยกเว้น BruCERT ได้
รับแจ้งภัยคุกคามประเภท Information Gathering ลดลง โดยเฉพาะ CNCERT/CC ที่ได้รับ
แจ้งเพียงแค่ 0.1% และ ID-SIRTII, MyCERT, CNCERT/CC, KrCERT/CC ที่ไม่ได้รับแจ้งใน
ปี 2555 เลย หรือกรณีไทยเซิร์ตที่แทบจะไม่ได้รับแจ้งภัยคุกคามประเภท Abusive Content
(0.4%) เมื่อเทียบกับปี 2554 (11.9%) ในขณะที่ภัยคุกคามบางประเภทได้รับแจ้งเพิ่มขึ้นอย่าง
ชัดเจนในหลายประเทศ เช่น กรณีภัยคุกคามประเภท Intrusions ที่ ID–SIRTII, KrCERT/CC,
MyCERT ได้รับแจ้งเพิ่มขึ้นเป็น 30%, 32.1% และ 43.3% ตามล�ำดับ หรือกรณีที่ภัยคุกคาม
ประเภท Malicious Code ที่ VNCERT ได้รับแจ้งเพิ่มเป็น 32.8% โดยพบว่าเกิดจากการ
ระบาดของมัลแวร์ที่ฝังในไฟล์เอกสารแนบ
สัดสวน(รอยละ)
Abusive Content
Fraud
Information Gathering/Intrusion Attempts
Intrusions
Malicious Code
OtherBruCERT ID-SIRTII MyCERT ThaiCERT VNCERT CNCERT/CC JPCERT/CC KrCERT/CC
0
20
40
60
80
100
กราฟที่ 20 สัดส่วนของภัยคุกคามแต่ละประเภทที่ถูกแจ้งไปยังหน่วยงาน CERT ของแต่ละประเทศในกลุ่มอาเซียน+3 ในปี 2554 และ 2555

103. 103

104. 104
บทที่ 6.
ความท้าทายในบทบาท NATIONAL CERT

105. 105
ด้วยสถานการณ์ความพร้อมของ
ประเทศไทยเกี่ยวกับการรับมือกับภาวะภัย
คุกคามด้านสารสนเทศที่ยังมีข้อจ�ำกัดในหลาย
ด้าน ในขณะที่ความซับซ้อนของภัยคุกคาม
ที่เกิดขึ้นมีความแปลกใหม่ตลอดเวลา เช่น
เหตุการณ์การค้นพบช่องโหว่ในโปรแกรม
Java บนระบบปฏิบัติการ Windows ใน
ช่วงต้นปี 2556 ที่ท�ำให้แฮกเกอร์สามารถ
ลักลอบติดตั้งมัลแวร์หรือสั่งให้ประมวลผลค�ำ
สั่งอันตรายจากระยะไกลได้ (Remote Code
Execution)บนเครื่องผู้ใช้งานที่เข้าชมเว็บไซต์
ที่ถูกฝังโค้ดอันตรายไว้ ซึ่งสามารถสร้างความ
เสียหายให้กับผู้ให้บริการและผู้ใช้บริการเป็น
จ�ำนวนมากหากมีการน�ำช่องโหว่นี้ไปใช้โจมตี
ประกอบกับจากรายงานสถิติจากหลายแหล่ง
ที่ได้ระบุว่าประเทศไทยมีความเสี่ยงสูงเป็น
อันดับต้น ๆ ด้านความมั่นคงปลอดภัย
เช่น สถาบันนานาชาติในการจัดอันดับ
ความสามารถในการแข่งขันของประเทศ
สมาชิกหรือInternationalInstitutefor
ManagementDevelopment(IMD)ได้
ประเมินปัจจัยด้านความมั่นคงปลอดภัย
ไซเบอร์ขององค์กรในแต่ละประเทศ
สมาชิกซึ่งส่งผลต่อการแข่งขันของประเทศ
ในรายงาน “World Competitiveness
Rankings” ประจ�ำปี 2013 โดยได้จัด
อันดับด้านความมั่นคงปลอดภัยไซเบอร์
ของประเทศไทยอยู่ในล�ำดับที่ 48 จาก
ประเทศสมาชิก 60 ประเทศ และอยู่ใน
ล�ำดับที่ 4 ของประเทศสมาชิกอาเซียน
เป็นรองประเทศมาเลเซียประเทศสิงคโปร์
และประเทศอินโดนีเซีย รูปที่ 11 อันดับความสามารถในการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ในรายงาน
World Competitiveness Rankings 2013 ของ IMD

106. 106
นอกจากนี้คณะท�ำงานต่อต้านภัยคุกคาม
ประเภท Phishing (Anti-Phishing Working
Group - APWG) ได้รายงานว่า เว็บไซต์ที่อยู่
ภายใต้โดเมนของประเทศไทยมีสัดส่วนของ
จ�ำนวนเว็บไซต์ที่ถูกเจาะระบบเพื่อใช้เป็น
ฐานส�ำหรับหลอกลวงในลักษณะ Phishing
เมื่อเทียบกับจ�ำนวนโดเมนที่จดทะเบียนไว้
ทั้งหมดของประเทศสูงที่สุดเป็นอันดับต้น ๆ
ซึ่งตัวอย่างทั้งสองนี้สะท้อนว่าประเทศไทย
ก�ำลังอยู่ในภาวะที่น่าเป็นห่วงและมีความ
เสี่ยงสูง ดังนั้นการป้องกันรักษาความมั่นคง
ปลอดภัยและการต่อต้านภัยคุกคามอย่างทัน
ท่วงที จึงเป็นมาตรการที่ส�ำคัญและจ�ำเป็น
ส�ำหรับระงับเหตุก่อนที่จะเกิดความเสียหาย
ขึ้นในวงกว้าง การท�ำงานในลักษณะเรียกว่า
ทีมประสานการรักษาความมั่นคงปลอดภัย
ระบบคอมพิวเตอร์ (Computer Emergency
Response Team - CERT) ซึ่งในประเทศไทย
นั้นไทยเซิร์ตได้รับการยอมรับให้เป็นตัวแทน
ของประเทศท�ำหน้าที่เป็นศูนย์กลางประสาน
งานกับหน่วยงานอื่น ๆ ทั้งในประเทศและ
เครือข่าย CERT ที่มีอยู่ทั่วโลก ดังนั้น CERT
จึงนับได้ว่าเป็นกลไกที่ส�ำคัญในการต่อสู้กับ
ภัยคุกคามไซเบอร์ที่สามารถส่งผลกระทบต่อ
ทุกประเทศทั่วโลกที่เชื่อมโยงและเข้าถึงได้ใน
โลกอินเทอร์เน็ต ซึ่ง CERT ของแต่ละประเทศ
ต้องพัฒนาแนวปฏิบัติในการระงับเหตุภัย
คุกคามที่เกิดขึ้นให้เร็วที่สุดและลดความเสีย
หายให้เกิดขึ้นน้อยที่สุด โดยอาศัยมาตรการ
ระบบ เครื่องมือ รวมถึงบุคลากรผู้เชี่ยวชาญ
ที่มีความพร้อมที่จะให้บริการได้ทันทีที่ได้รับ
แจ้งเหตุการณ์ภัยคุกคาม
ที่ผ่านมาไทยเซิร์ตมีบทบาทในการพัฒนา
และบริหารจัดการระบบแจ้งเตือนเมื่อได้รับ
แจ้งภัยคุกคามที่เร่งด่วนและมีความส�ำคัญ
ได้แก่ การรับมือและแก้ไขการหลอกลวงทาง
เว็บไซต์ธนาคาร (Phishing) และการวิเคราะห์
โปรแกรมไม่พึงประสงค์ (Malware) รวมถึง
การพัฒนาทรัพยากรบุคคลที่มีความเชี่ยวชาญ
เฉพาะด้าน ที่ได้รับการอบรมและสอบผ่าน
ใบรับรองสากลและผลักดันการสร้างความ
ร่วมมือกับหน่วยงานนานาชาติและหน่วย
งานระดับประเทศ รวมทั้งจัดฝึกอบรมและ
สัมมนาให้แก่ผู้บริหารและ บุคลากรผู้ปฏิบัติ
งานด้านความมั่นคงปลอดภัยสารสนเทศทั้ง
ภาครัฐและเอกชนของประเทศไทย ให้มีความ
พร้อมและตระหนักถึงภัยคุกคามไซเบอร์และ
มาตรการป้องกันที่จ�ำเป็นต้องเรียนรู้ โดย

107. 107
เฉพาะหน่วยงานรัฐที่เป็นหน่วยงานโครงสร้าง
พื้นฐานส�ำคัญของประเทศและหน่วยงานด้าน
การเงินที่จ�ำเป็นต้องเปิดให้บริการตลอด 24
ชั่วโมงอย่างมั่นคงปลอดภัย เพื่อสร้างความ
เชื่อมั่นให้แก่ประชาชนในการท�ำธุรกรรม
ทางอิเล็กทรอนิกส์ และรักษาภาพลักษณ์ของ
ประเทศในสายตาต่างชาติในระยะยาวอีกด้วย
ในปี 2555 ไทยเซิร์ตได้ก�ำหนดมาตรฐานของ
การให้บริการรับมือและจัดการเหตุภัยคุกคาม
ด้านสารสนเทศที่ได้รับแจ้งภายใน2วันท�ำการ
(Service Level Agreement - SLA) มีการ
พัฒนาระบบสารสนเทศเพื่อเพิ่มประสิทธิภาพ
การ ให้บริการรับมือและแก้ไขภัยคุกคามใน
ระดับประเทศและไทยเซิร์ตให้ความส�ำคัญ
ในการพัฒนาทักษะบุคลากรในเชิงเทคนิคให้
มีความเชี่ยวชาญในการวิเคราะห์ภัยคุกคาม
ในรูปแบบใหม่ที่มีความซับซ้อนและอาจส่ง
ผลกระทบกับระบบสารสนเทศส�ำคัญของ
ประเทศ และที่ส�ำคัญที่สุดคือการขยายความ
ร่วมมือกับหน่วยงาน CERT ต่างประเทศเพิ่ม
มากขึ้น โดยเฉพาะกลุ่มประเทศปลายทางที่
ตรวจพบว่ามักจะใช้ประเทศไทยเป็นฐานใน
การกระท�ำความผิด
ในภารกิจเชิงนโยบาย ไทยเซิร์ตเป็นก�ำลัง
ส�ำคัญที่ช่วยให้การสนับสนุนทางเทคนิคแก่
ผู้อ�ำนวยการ สพธอ. ในการปฏิบัติหน้าที่
เลขานุการคณะกรรมการความมั่นคงปลอดภัย
ไซเบอร์แห่งชาติ (National Cybersecurity
Committee – NCSC) ที่จัดตั้งขึ้นในปี พ.ศ.
2555 ซึ่งนายกรัฐมนตรีท�ำหน้าที่ประธาน มี
ผู้บริหารสูงสุดของหน่วยงานส�ำคัญที่มีภารกิจ
ในการปกป้องและรักษาความมั่นคงปลอดภัย
ไซเบอร์ของประเทศร่วมเป็นกรรมการ ซึ่งผล
งานส�ำคัญ ได้แก่ การจัดท�ำร่างกรอบนโยบาย
เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์
แห่งชาติ ซึ่งขณะนี้อยู่ระหว่างการรับฟังความ
เห็นหน่วยงานที่เกี่ยวข้องเพิ่มเติมก่อนที่จะน�ำ
เสนอคณะรัฐมนตรีพิจารณาและการจัดท�ำขั้น
ตอนการแจ้ง/รับมือเหตุภัยคุกคามที่กระทบ
ต่อความมั่นคงปลอดภัยทางด้านสารสนเทศ
เมื่อเกิดเหตุภัยคุกคาม ซึ่งทั้งสองส่วนนี้คณะ
กรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
ได้ให้ความเห็นชอบในหลักการแล้ว
เว็บไซต์ของหน่วยงาน
ภาคเอกชน (.com) ได้รับ
ผลกระทบเป็นอันดับหนึ่ง
ในการโจมตีทุกประเภท ใน
ขณะที่เว็บไซต์ของหน่วยงาน
ภาครัฐ (go.th) ได้รับผล�
กระทบจาก Malware
URL กับ Web
Defacement สูงเป็น
อันดับที่ 2 และอยู่ในอันดับ
ที่ 5 ของการโจมตีประเภท
Phishing

108. 108
ส�ำหรับแผนการด�ำเนินงานต่อไปใน
อนาคตนั้น ไทยเซิร์ตจะยกระดับการท�ำงาน
จากหน่วยงานที่ให้การสนับสนุนทางเทคนิค
แก่หน่วยงานอื่นอยู่เบื้องหลัง ไปสู่การท�ำงาน
ระดับประเทศเพื่อเฝ้าระวังภาพรวมการรักษา
ความมั่นคงปลอดภัยของประเทศในบทบาท
ของ National CERT ซึ่งจะเป็นการพัฒนา
ในเชิงรุกเพื่อรับผิดชอบภารกิจในระดับ
ประเทศอย่างเต็มตัวและสนับสนุนการด�ำเนิน
การตามนโยบายของรัฐบาลในการรักษา
ความมั่นคงปลอดภัยไซเบอร์ของประเทศ
ทั้งนี้มีเป้าหมายหลักที่สำ�คัญจะ
เตรียมดำ�เนินการต่อไป ดังนี้�
1การผลักดันไทยเซิร์ตให้ทำ�
หน้าที่เป็น Cybersecurity
Center of Command ใน
บทบาทของ National CERT
ที่จะต้องมีการวางโครงสร้างการบริหารจัดการ
และบูรณาการนโยบายการรักษาความมั่นคง
ปลอดภัยไซเบอร์ของประเทศ การจัดท�ำ
นโยบายระดับชาติเพื่อรับมือ ป้องกัน และลด
ความเสี่ยงอันเกิดจากสถานการณ์ภัยคุกคาม
ไซเบอร์ที่อาจจะเกิดขึ้นได้ทุกเมื่อ รวมถึงการ
ก�ำหนดแนวทางและมาตรการเกี่ยวกับการ
รักษาความมั่นคงปลอดภัยไซเบอร์ที่สอดรับ
กับกรอบนโยบายที่คณะกรรมการความมั่นคง
ปลอดภัยไซเบอร์แห่งชาติก�ำหนด และผลัก
ดันการด�ำเนินงานตามกรอบนโยบายดังกล่าว
2การพัฒนาขั้นตอน
การแจ้ง/รับมือเหตุ
ภัยคุกคามที่กระทบต่อ
ความมั่นคงปลอดภัยทาง
ด้านสารสนเทศแห่งชาติ
(National Incident Response Flow –
National IR Flow) ระหว่างหน่วยงานที่
เกี่ยวข้องซึ่งประกอบด้วย4ขั้นตอนหลักได้แก่
1) กระบวนการรับมือเมื่อตรวจพบเหตุการณ์
2) การวิเคราะห์และประเมินผลเบื้องต้น
3) การรายงานเหตุภัยคุกคามตามล�ำดับ
ชั้นจนถึงระดับนโยบาย
4) การยืนยันผลวิเคราะห์และการติดตามผล
ทั้งนี้เพื่อให้มีการส่งต่อข้อมูลส�ำคัญไป
ยังทุกหน่วยงานที่เกี่ยวข้องและเชื่อมโยงการ
ท�ำงานระหว่างกันทั้งระบบและรวมถึงการผลัก
ดันให้ National IR Flow นี้ได้รับการยอมรับ
ทั่วกันและเพื่อน�ำไปสู่การปฏิบัติอย่างจริงจัง
3การพัฒนาศักยภาพด้าน
การรักษาความมั่นคง
ปลอดภัยไซเบอร์ของหน่วยงาน
สำ�คัญ เช่น กลุ่มธนาคาร กลุ่มโครงสร้าง
พื้นฐานส�ำคัญ และหน่วยงานด้านความมั่นคง
ด้วยการผลักดันในการจัดตั้ง Sector-based
CERT ให้มีความเข้มแข็ง เพื่อประสานความ
ร่วมมือระหว่างไทยเซิร์ตและหน่วยงานส�ำคัญใน
การรับมือและจัดการภัยคุกคามรวมถึงพัฒนา
ให้เป็นเครือข่ายส�ำหรับการแลกเปลี่ยนข้อมูล
ภัยคุกคามส�ำคัญที่เกิดขึ้นและส่งผลกระ
ทบกับหน่วยงานในประเทศ

109. 109
4การจัดทำ�แผนความต่อ
เนื่องทางธุรกิจแห่งชาติ
หรือ National Business Continuity Plan
(NBCP)เพื่อเป็นกลไกในการรักษาสภาพพร้อม
ใช้ของธุรกิจ(Availability)ของประเทศซึ่งเป็น
องค์ประกอบส�ำคัญของความมั่นคงปลอดภัย
สารสนเทศ และผลักดันให้เกิดการพัฒนาและ
ใช้งาน BCP ในทุกภาคส่วน ไม่ว่าจะเป็น
หน่วยงานภาครัฐหรือ
ภาคเอกชนอย่าง
เป็นรูปธรรม
5การสร้างความพร้อม
ในการรับมือภัยคุกคาม
ไซเบอร์ ทั้งผู้เชี่ยวชาญและเครื่องมือให้
ทัดเทียมกับประเทศในภูมิภาคอาเซียน และมี
ระบบฐานข้อมูลและวิธีการแลกเปลี่ยนข้อมูล
ภัยคุกคามไซเบอร์ที่เกิดขึ้นในประเทศไทยกับ
ผู้ให้บริการอินเทอร์เน็ตในประเทศทุกราย ที่
สามารถน�ำไปใช้ประโยชน์ในการป้องกันหรือ
ระงับเหตุผลกระทบและจ�ำกัดความเสียหายที่
อาจจะเกิดขึ้นได้ทันท่วงทีก่อนที่จะขยายวงกว้าง
6การเพิ่มขีดความสามารถ
และความหลากหลายของ
ระบบการรับมือภัยคุกคาม
ตลอดจนสภาพพร้อมใช้ของระบบที่ส�ำคัญ
ของประเทศ ที่สอดรับกับความต้องการของ
หน่วยงาน โดยเฉพาะหน่วยงานที่จัดอยู่ใน
กลุ่มโครงสร้างพื้นฐานส�ำคัญของประเทศ
(Critical Infrastructure) ซึ่งมีผลเกี่ยวเนื่อง
ส�ำคัญต่อความมั่นคงหรือความสงบเรียบร้อย
ของประเทศ หรือต่อสาธารณชน โดยจะเน้น
ให้ความส�ำคัญกับระบบการตรวจสอบและเฝ้า
ระวังเว็บไซต์หน่วยงานส�ำคัญของประเทศการ
พัฒนาระบบป้องกัน Distributed Denial of
Service หรือ DDoS รวมถึงการพัฒนาระบบ
วิเคราะห์วิจัยและทดสอบภัยคุกคามไซเบอร์
ในห้องปฏิบัติการ
GOAL

110. 110
ภาคผนวก
ภาคผนวก ก การจัดประเภทของเหตุภัยคุกคามด้านสารสนเทศ
ตารางที่ 7 ประเภทของภัยคุกคามที่ได้รับแจ้งผ่านระบบอัตโนมัติ
Botnet ภัยคุกคามด้านสารสนเทศที่เกิดกับกลุ่มของเครื่องคอมพิวเตอร์ที่มีโปรแกรมไม่พึงประสงค์ติดตั้งอยู่ ซึ่งโปรแกรมไม่พึงประสงค์นี้จะท�ำการรับค�ำสั่งจาก
ผู้ควบคุมผ่านเครือข่ายอินเทอร์เน็ต โดยอาจเป็นค�ำสั่งที่ให้ท�ำการโจมตีระบบเครือข่าย ส่งสแปม หรือโจรกรรมข้อมูลในเครื่องคอมพิวเตอร์นั้น เป็นต้น
Open DNS Resolver ภัยคุกคามด้านสารสนเทศที่เกิดจากการตั้งค่าของเครื่องให้บริการ DNS อย่างไม่เหมาะสม อาจถูกใช้เป็นส่วนหนึ่งในการโจมตีระบบต่าง ๆ ในลักษณะ
DDoS ได้
Spam ภัยคุกคามด้านสารสนเทศที่เกิดจากผู้ไม่หวังดีท�ำการส่งจดหมายอิเล็กทรอนิกส์ออกไปยังผู้รับจ�ำนวนมาก โดยผู้ที่ได้รับจดหมายอิเล็กทรอนิกส์เหล่านั้น
ไม่ได้มีความประสงค์ที่จะได้รับข้อมูลนั้นมาก่อน ส่วนมากเป็นการโฆษณาสินค้าและบริการ ท�ำให้เกิดความเดือดร้อนร�ำคาญแก่ผู้รับ
Scanning ภัยคุกคามด้านสารสนเทศที่เกิดจากการที่ผู้ไม่หวังดี ท�ำการตรวจสอบข้อมูลเบื้องต้นของระบบปฏิบัติการหรือบริการบนเครื่องแม่ข่าย โดยใช้วิธีส่ง
ข้อมูลไปสู่ระบบที่เป็นเป้าหมายผ่านระบบเครือข่าย แล้วรวบรวมผลลัพธ์จากการตอบสนองจากระบบที่เป็นเป้าหมายนั้น ข้อมูลที่ได้จากการสแกนมัก
จะใช้เป็นข้อมูลในการเจาะหรือบุกรุกเข้าระบบต่อไป

111. 111
Open Proxy Server ภัยคุกคามด้านสารสนเทศที่เกิดจากการตั้งค่าบริการ Web Proxy ไม่เหมาะสม โดยยินยอมให้ผู้ใช้งานทั่วไปเรียกใช้งานเพื่อเข้าถึงบริการเว็บในเครือข่าย
อินเทอร์เน็ตได้โดยไม่มีระบบยืนยันตัวตน (Authentication) ซึ่งอาจท�ำให้ผู้ไม่หวังดีใช้เป็นช่องทางในการกระท�ำความผิดหรือใช้โจมตีระบบอื่น ๆ ได้
Web Defacement ภัยคุกคามด้านสารสนเทศที่เกิดจากการเจาะระบบได้ส�ำเร็จ แล้วท�ำการเปลี่ยนแปลงข้อมูลบนหน้าเว็บไซต์ โดยมีจุดประสงค์ของการกระท�ำเพื่อสร้าง
ความอับอาย ท�ำให้หน่วยงานเจ้าของเว็บไซต์ หรือผู้เกี่ยวข้องเสื่อมเสียชื่อเสียง
Malware URL ภัยคุกคามด้านสารสนเทศที่เกิดจากเว็บไซต์ที่ใช้เพื่อเผยแพร่ Malware ส่วนมากจะเกิดจากการที่ผู้ไม่หวังดีบุกรุกเข้าไปยังเว็บไซต์ของผู้อื่นและใช้
พื้นที่ของเว็บไซต์นั้นในการเผยแพร่ Malware และหลอกลวงให้ผู้อื่นเข้าถึงหรือดาวน์โหลด Malware นี้
Phishing ภัยคุกคามด้านสารสนเทศในลักษณะการฉ้อฉล ฉ้อโกง หรือหลอกลวงเพื่อผลประโยชน์ ส่วนใหญ่มีวัตถุประสงค์ในการขโมยข้อมูลส�ำคัญของผู้ใช้งาน
เช่น บัญชีผู้ใช้ รหัสผ่าน หรือข้อมูลส�ำคัญทางธุรกรรมอิเล็กทรอนิกส์ เป็นต้น ผู้โจมตีใช้วิธีการล่อลวงให้ผู้ใช้งานเข้าถึงบริการที่ท�ำปลอมขึ้นและท�ำให้ผู้
ใช้งานเข้าใจผิดว่าก�ำลังใช้งานกับระบบของผู้ให้บริการจริงอยู่
Brute Force ภัยคุกคามด้านสารสนเทศในลักษณะการโจมตีหรือเจาะระบบเป้าหมายด้วยวิธีการสุ่มข้อมูลตามอัลกอริทึมที่ผู้โจมตีคิดค้น เพื่อให้ได้ข้อมูลส�ำคัญหรือ
ข้อมูลลับของระบบเป้าหมาย เช่น การสุ่มบัญชีชื่อผู้ใช้งานและรหัสผ่านเพื่อเข้าสู่ระบบ
DDoS ภัยคุกคามด้านสารสนเทศในลักษณะการโจมตีสภาพความพร้อมใช้งานของระบบ โดยมีลักษณะการโจมตีมาจากหลายที่โดยแต่ละที่โจมตีเป้าหมาย
เดียวกันภายในช่วงเวลาเดียวกัน เพื่อท�ำให้บริการต่าง ๆ ของระบบไม่สามารถให้บริการได้ตามปกติ มีผลกระทบตั้งแต่เกิดความล่าช้าในการตอบสนอง
ของบริการจนกระทั่งระบบไม่สามารถให้บริการต่อไปได้

112. 112
ตารางที่ 8 คำ�อธิบายประเภทของภัยคุกคามแบบต่าง ๆ
ประเภท ค�ำอธิบาย
เนื้อหาที่เป็นภัย
(Abusive Content)
ภัยคุกคามด้านสารสนเทศ ที่เกิดจากการใช้/เผยแพร่ข้อมูลที่ไม่เป็นจริงหรือไม่เหมาะสม (Abusive Content) เพื่อท�ำลายความน่าเชื่อถือ เพื่อก่อให้เกิด
ความไม่สงบ หรือข้อมูลที่ไม่ถูกต้องตามกฎหมาย เช่น ลามก อนาจาร หมิ่นประมาท และรวมถึงการโฆษณาขายสินค้าต่าง ๆ ทางอีเมลที่ผู้รับไม่ได้มีความ
ประสงค์จะรับข้อมูลโฆษณานั้น ๆ (Spam)
โปรแกรมไม่พึง
ประสงค์
(Malicious Code)
ภัยคุกคามด้านสารสนเทศ ที่เกิดจากโปรแกรมหรือชุดค�ำสั่งที่พัฒนาขึ้นด้วยความประสงค์ร้าย (Malicious Code) เพื่อท�ำให้เกิดความขัดข้องหรือเสีย
หายกับระบบที่โปรแกรมหรือซอฟต์แวร์ไม่พึงประสงค์นี้ติดตั้งอยู่ โดยปกติโปรแกรมหรือซอฟต์แวร์ไม่พึงประสงค์ประเภทนี้ต้องอาศัยผู้ใช้งานเป็นผู้เปิด
ก่อน จึงจะสามารถติดตั้งตัวเองหรือท�ำงานได้ เช่น Virus, Worm, Trojan หรือ Spyware ต่าง ๆ
ความพยายาม
รวบรวมข้อมูลของ
ระบบ (Information
Gathering)
ภัยคุกคามด้านสารสนเทศ ที่เกิดจากความพยายามของผู้ไม่หวังดีในการรวบรวมข้อมูลจุดอ่อนของระบบ (Scanning) ด้วยการเรียกใช้บริการต่าง ๆ ที่
อาจจะเปิดไว้บนระบบ เช่น ข้อมูลเกี่ยวกับระบบปฏิบัติการ ระบบซอฟต์แวร์ที่ติดตั้งหรือใช้งาน ข้อมูลบัญชีชื่อผู้ใช้งาน (User Account) ที่มีอยู่บนระบบ
เป็นต้น รวมถึงการเก็บรวบรวมหรือตรวจสอบข้อมูลจราจรบนระบบเครือข่าย (Sniffing) และการล่อลวงหรือใช้เล่ห์กลต่าง ๆ เพื่อให้ผู้ใช้งานเปิดเผย
ข้อมูลที่มีความส�ำคัญของระบบ (Social Engineering)

113. 113
ความพยายาม
จะบุกรุกเข้า
ระบบ (Intrusion
Attempts)
ภัยคุกคามด้านสารสนเทศที่เกิดจากความพยายามจะบุกรุก/เจาะเข้าระบบ (Intrusions Attempts) ผ่านจุดอ่อนหรือช่องโหว่ที่เป็นที่รู้จักในสาธารณะ
(CVE- Common Vulnerabilities and Exposures) หรือผ่านจุดอ่อนหรือช่องโหว่ใหม่ที่ยังไม่เคยพบมาก่อน เพื่อให้ได้เข้าครอบครองหรือท�ำให้เกิด
ความขัดข้องกับบริการต่าง ๆ ของระบบ รวมถึงความพยายามจะบุกรุก/เจาะระบบผ่านช่องทางการตรวจสอบบัญชีชื่อผู้ใช้งานและรหัสผ่าน (Login)
ด้วยวิธีการสุ่ม/เดาข้อมูล หรือทดสอบรหัสผ่านทุกค่า (Brute Force)
การบุกรุกหรือเจาะ
ระบบได้ส�ำเร็จ
(Intrusions)
ภัยคุกคามด้านสารสนเทศที่เกิดกับระบบที่ถูกบุกรุก/เจาะเข้าระบบได้ส�ำเร็จ (Intrusions) และระบบถูกครอบครองโดยผู้ที่ไม่ได้รับอนุญาต
การโจมตีสภาพความ
พร้อมใช้งานของ
ระบบ (Availability)
ภัยคุกคามด้านสารสนเทศที่เกิดจากการโจมตีสภาพความพร้อมใช้งานของระบบ เพื่อท�ำให้บริการต่าง ๆ ของระบบไม่สามารถให้บริการได้ตามปกติ มี
ผลกระทบตั้งแต่เกิดความล่าช้าในการตอบสนองของบริการจนกระทั่งระบบไม่สามารถให้บริการต่อไปได้ อาจจะเกิดจากการโจมตีที่บริการของระบบ
โดยตรง เช่น การโจมตีประเภท DoS (Denial of Service) แบบต่าง ๆ หรือการโจมตีโครงสร้างพื้นฐานที่สนับสนุนการให้บริการของระบบ เช่น อาคาร
สถานที่ ระบบไฟฟ้า ระบบปรับอากาศ
ฉ้อโกงหรือหลอก
ลวงเพื่อผลประโยชน์
(Fraud)
ภัยคุกคามด้านสารสนเทศที่เกิดจากการฉ้อฉล ฉ้อโกง หรือการหลอกลวงเพื่อผลประโยชน์ (Fraud) สามารถเกิดได้ในหลายลักษณะ เช่น การลักลอบ
ใช้งานระบบหรือทรัพยากรทางสารสนเทศที่ไม่ได้รับอนุญาตเพื่อแสวงหาผลประโยชน์ของตนเอง หรือการขายสินค้าหรือซอฟต์แวร์ที่ละเมิดลิขสิทธิ์

114. 114
ภาคผนวก ข อภิธานศัพท์และคำ�ย่อ
ตารางที่ 9 อภิธานศัพท์และคำ�ย่อ
ค�ำศัพท์ ความหมาย
Port Scanning การตรวจสอบข้อมูลเบื้องต้นของระบบปฏิบัติการหรือบริการบนเครื่องแม่ข่าย โดยการส่งข้อมูลไปสู่ระบบที่เป็นเป้าหมายแล้วรวบรวมผลการ
ตอบสนอง ข้อมูลที่ได้จากการสแกนมักถูกใช้เป็นข้อมูลในการเจาะหรือบุกรุกเข้าระบบต่อไป
Social Engineering เทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล เช่น การโทรศัพท์โดยแอบอ้างเป็นบุคคลอื่นเพื่อหลอกให้เปิด
เผยรหัสผ่าน
Trojan มัลแวร์ที่อยู่ในรูปของโปรแกรมทั่วไป แต่มีจุดประสงค์แอบแฝงเพื่อท�ำอันตรายต่อระบบ เช่น ขโมยข้อมูลบัญชีผู้ใช้ เป็นต้น โปรแกรมที่เป็นโทรจัน
นั้นจะหลอกล่อให้ผู้ใช้คิดว่าตัวมันเองปลอดภัย และให้ผู้ใช้เป็นคนน�ำโปรแกรมเข้ามาติดตั้งอยู่ในระบบเอง
Worm มัลแวร์ที่สามารถแพร่กระจายไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายหรือข้ามเครือข่ายโดยไม่ผ่านการใช้งานของผู้ใช้

115. 115
ค�ำศัพท์ ความหมาย
Malware URL การเผยแพร่โปรแกรมไม่พึงประสงค์ผ่านเครื่องแม่ข่าย โดยโปรแกรมไม่พึงประสงค์จะท�ำงานเมื่อผู้ใช้เปิดเข้าไปใน URL ที่เป็นที่อยู่ของโปรแกรม
ไม่พึงประสงค์ มีผลท�ำให้เบราว์เซอร์ถูกควบคุมการท�ำงานให้เป็นไปตามความต้องการของผู้เขียนมัลแวร์ เช่น ขโมยข้อมูล แสดงหน้าต่างโฆษณา
หรือดาวน์โหลดโปรแกรมไม่พึงประสงค์อื่น ๆ ตามมา เป็นต้น
Domain Name ชื่อที่ตั้งขึ้นเพื่อใช้แทนการเรียกหมายเลขไอพี (IP Address) เพื่อให้เป็นที่รู้จักและจดจ�ำได้ง่ายขึ้น
Vulnerability
Assessment
กระบวนการตรวจสอบหาช่องโหว่ของระบบสารสนเทศที่อาจเป็นจุดอ่อนให้ผู้ไม่หวังเจาะระบบเข้ามาได้ และประเมินความส�ำคัญและผลกระทบ
ของช่องโหว่นั้น
Penetration Testing ขั้นตอนถัดจากการตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ โดยท�ำการบุกรุกเจาะระบบสารสนเทศจริงโดยอาศัยวิธีการทางเทคนิค,
การหลอกลวงแบบโซเชียลเอนจิเนียริง หรือแม้กระทั่งบุกรุกทางกายภาพเข้าไปขโมยข้อมูลก็ถือเป็นการทดสอบเจาะระบบ

116. 116
ค�ำศัพท์ ความหมาย
Digital Forensics การเก็บหลักฐาน การค้นหา การวิเคราะห์ และการน�ำเสนอหลักฐานทางดิจิทัลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ เช่น ไฟล์ที่อยู่ใน
คอมพิวเตอร์ อุปกรณ์อิเล็กทรอนิกส์ โทรศัพท์มือถือ รวมถึงหลักฐานดิจิทัลที่สร้างจากระบบคอมพิวเตอร์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถน�ำไปใช้
ระบุผู้กระท�ำผิดและใช้เป็นหลักฐานในการด�ำเนินคดีได้
Computer Security
Incident Response
Team (CSIRT)
หน่วยงานที่มีหน้าที่ประสานงานและจัดการภัยคุกคามที่เกิดกับระบบสารสนเทศในขอบเขตเครือข่ายที่ก�ำหนด เช่น ซีเซิร์ตระดับองค์กรที่จัดการ
ภัยคุกคามระบบสารสนเทศภายในองค์กร หรือ ซีเซิร์ตระดับประเทศที่สามารถประสานงานไปยังซีเซิร์ตในระดับประเทศด้วยกันหรือหน่วยงาน
ที่เกี่ยวข้องเพื่อจัดการภัยคุกคามทางสารสนเทศ
One Time Password
(OTP)
รหัสผ่านที่สามารถใช้ได้เพียงครั้งเดียวในการเข้าสู่ระบบ ซึ่งมีความแตกต่างจากรหัสผ่านทั่วไป (Static Password) คือสามารถป้องกันภัยคุกคาม
เกี่ยวกับการกรอกรหัสผ่านซ�้ำ (Replay Attack) กล่าวคือ หากผู้ประสงค์ร้ายท�ำการจดจ�ำรหัสผ่านเดิมที่ผู้ใช้งานเคยเข้าสู่ระบบ เพื่อจะน�ำกลับมา
ใช้ซ�้ำ จะไม่สามารถกระท�ำได้เนื่องจากรหัสผ่านจะมีการเปลี่ยนไปในแต่ละครั้งที่เข้าสู่ระบบ แต่อย่างไรก็ตามการใช้งานรหัสผ่าน OTP มีข้อเสียคือ
ผู้ใช้งานอาจจดจ�ำรหัสผ่านดังกล่าวได้ยาก ดังนั้นจึงมักพบเห็นการใช้รหัสผ่านแบบ OTP ร่วมกับเทคโนโลยีอื่น ทั้งนี้ เทคโนโลยีที่ใช้ในการสร้างรหัส
ผ่านแบบ OTP ได้แก่ การค�ำนวณจากเวลา การค�ำนวณจากรหัสผ่านเดิม หรือค่าสุ่มอื่น ๆ เป็นต้น

117. 117
ค�ำศัพท์ ความหมาย
Content Management
System (CMS)
ระบบซอฟต์แวร์คอมพิวเตอร์ที่ใช้เพื่อจัดระเบียบเอกสารหรือเนื้อหาสาระ โดยส่วนมากน�ำมาช่วยในการสร้างและบริหารเว็บไซต์แบบส�ำเร็จรูป โดย
ในการใช้งาน CMS นั้นผู้ใช้งานแทบไม่ต้องมีความรู้ในด้านการเขียนโปรแกรม ก็สามารถสร้างเว็บไซต์ได้
Corporate เครือข่ายที่ให้บริการอินเทอร์เน็ตกับหน่วยงาน หรือองค์กรที่มีหมายเลขไอพี (IP Adrdress) คงที่ โดยทั่วไปจะมีระบบเครือข่ายและสารสนเทศ
ภายในจ�ำนวนมาก และมีผู้ดูแลระบบประจ�ำหน่วยงาน
Broadband เครือข่ายที่ให้บริการอินเทอร์เน็ตกับผู้ใช้ทั่วไป มีการระบุหมายเลขไอพี (IP Address) กับเครื่องที่เป็นลักษณะไดนามิกไอพี (Dynamic IP) ซึ่ง
หมายเลขไอพี (IP Address) จะเปลี่ยนแปลงไปได้ตามเงื่อนไขที่ผู้ให้บริการก�ำหนด ผู้ใช้เครือข่ายแบบนี้ส่วนมากจะเป็นผู้ใช้บริการตามบ้าน หรือ
ส�ำนักงานขนาดเล็กที่มีผู้ใช้บริการจ�ำนวนน้อย

118. 118
ภัยคุกคามในเครือข่าย
ตารางที่ 10 จำ�นวนหมายเลขไอพีของเครือข่าย (AS number ที่ได้รับแจ้งเหตุภัยคุกคาม) ที่ได้รับแจ้งรายงานภัยคุกคามสูง
ที่สุด นับตามจำ�นวนหมายเลขไอพีที่ไม่ซ�้ำ
ผู้ให้บริการอินเทอร์เน็ต AS Number จ�ำนวนหมายเลขไอพี
จ�ำนวนรายงานเหตุภัยคุกคาม
นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
TOT
9737
23969
38040
56120
1,355,520 1,045,917
True Internet
7470
9287
17552
2,249,472 749,732
Triple T Broadband 45758 1,069,056 720,117
Jastel Network 45629
55423 1,094,656 686,283

119. 119
ผู้ให้บริการอินเทอร์เน็ต AS Number จ�ำนวนหมายเลขไอพี
จ�ำนวนรายงานเหตุภัยคุกคาม
นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
CAT Telecom
4651
9931
18252
131089
131090
308,224 66,953
Super Broadband Network
(SBN)
38444
45430
45458
207,616 60,441
Real Move 132061 65,536 36,758
Advanced Wireless Network
(AWN) 131445 102,400 31,256
DTAC 17724
24378 266,240 25,720
TTT 55465 403,456 14,363

120. 120
BOTNET
ตารางที่ 11 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจำ�นวนรายงานประเภท Botnet สูงที่สุด
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
TOT
AS9737: 82.77%
AS23969: 28.07%
AS38040: 0.01%
AS56120: 0.55%
1,027,199 978,427 900,415 149,699
True Internet
AS7470: 1.03%
AS9287: 0.57%
AS17552: 44.42%
713,584 649,075 606,270 55,372
Triple T Broadband AS45758: 63.71% 681,065 371,909 564,295 55,237
Jastel Network
AS45629: 59.50%
AS55423: 0.34%
637,276 549,705 290,074 4,756

121. 121
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom
AS9931: 2.30%
AS18252: 0.22%
AS131089: 97.79%
AS131090: 65.52%
63,216 59,448 50,880 232
Super Broadband
Network (SBN)
AS38444: 26.77%
AS45430: 3.85%
AS45458: 14.73%
48,842 25,624 32,759 8,584
Real Move AS132061: 56.09% 36,758 36,723 17,197 -
Advanced Wireless
Network (AWN)
AS131445: 30.52% 31,256 31,256 - -
DTAC
AS17724: 0.39%
AS24378: 9.63%
25,502 24,721 13,904 8,414
TTT AS55465: 3.14% 12,670 9,637 4,770 27

122. 122
OPEN DNS RESOLVER
ตารางที่ 12 สถิติประเภท Open DNS Resolver นับตามจำ�นวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก
จำ�แนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
TOT
AS9737: 58.46%
AS23969: 3.27%
AS38040: 0.01%
AS56120: 0.01%
725,003 721,958 19,763 16,381
True Internet
AS7470: 0.29%
AS9287: 0.73%
AS17552: 41.27%
659,843 659,227 147,458 107,309
Jastel Network
AS45629: 14.57%
AS55423: 0.21%
156,106 156,104 6 858
Triple T Broadband AS45758: 9.13% 97,622 87,355 11,757 11,245

123. 123
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom
AS4651: 0.01%
AS9931: 0.83%
AS18252: 0.02%
AS131089: 3.97%
AS131090: 59.67%
54,671 54,530 611 940
Advanced Datanetwork
Communications (ADC)
AS17565: 12.11% 4,154 4,0.57 245 280
CS Loxinfo
AS4750: 0.83%
AS7568: 0.10%
AS9891: 1.66%
AS45537: 11.33%
3,809 3,665 672 966
KSC AS7693: 0.83% 2,177 2,151 197 282
Ministry of Education AS23974: 1.26% 1,446 1,328 527 752
TTT AS55465: 0.33% 1,315 1,314 3 13

124. 124
SCANNING
ตารางที่ 13 สถิติประเภท Scanning นับตามจำ�นวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก
จำ�แนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
True Internet
AS7470: 0.02%
AS9287: 0.11%
AS17552: 0.31%
5,045 3,218 1,881 1,847
Triple T Broadband AS45758: 0.42% 4,514 2,676 1,890 1,321
TOT
AS9737: 0.29%
AS23969: 0.13%
AS38040: 0.01%
AS56120: 0.01%
3,678 2,305 1,474 1,640
Jastel Network
AS45629: 0.24%
AS55423: 0.01%
2,535 2,533 - 70

125. 125
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom
AS9931: 0.12%
AS18252: 0.02%
AS131089: 0.07%
240 161 114 94
CS Loxinfo
AS4750: 0.02%
AS9891: 0.22%
160 117 63 111
Ministry of Education AS23974: 0.10% 112 63 55 34
UniNet
AS4621: 0.06%
AS38589: 0.07%
81 48 38 36
BB Broadband AS38794: 0.11% 52 32 23 25
DTAC AS24378: 0.02% 42 28 14 9

126. 126
SPAM
ตารางที่ 14 สถิติประเภท Spam นับตามจำ�นวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก
จำ�แนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
TOT
AS9737: 41.99%
AS23969: 18.22%
AS56120: 0.39%
532,718 38,180 516,982 399,539
Triple T Broadband AS45758: 12.69% 135,675 8,211 130,351 53,170
True Internet
AS7470: 0.22%
AS9287: 0.17%
AS17552: 7.50%
121,076 7,544 115,830 100,637
Super Broadband
Network (SBN)
AS38444: 12.85%
AS45430: 6.12%
AS45458: 6.29%
23,248 7,912 22,199 43,005

127. 127
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
DTAC
AS17724: 0.07%
AS24378: 5.38%
14,245 7,715 13,673 21,742
Jastel Network
AS45629: 0.77%
AS55423: 0.05%
8,228 8,211 16 2,717
Advanced Datanetwork
Communications (ADC)
AS17565: 11.20% 3,842 365 3,659 3,786
UniNet
AS4621: 2.70%
AS38589: 0.26%
AS56277: 0.78%
3,453 1,572 3,016 2,353
PROEN AS23884: 7.23% 3,368 9 3,364 66
CAT Telecom
AS9931: 1.03%
AS18252: 0.15%
2,054 1,165 1,312 1,312

128. 128
OPEN PROXY SERVER
ตารางที่ 15 10 สถิติประเภท Open Proxy Server นับตามจำ�นวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด
10 อันดับแรก จำ�แนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
Triple T Broadband AS45758: 0.52% 5,587 2,866 2,927 2,857
Jastel Network AS45629: 0.32% 3,461 2,860 642 4
CAT Telecom
AS9931: 0.02%
AS131090: 1.98%
1,790 545 1,362 21
TOT
AS9737: 0.11%
AS23969: 0.02%
1,382 953 618 448
True Internet
AS7470: 0.01%
AS9287: 0.01%
AS17552: 0.02%
293 78 216 193

129. 129
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556)
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
Super Broadband Net-
work (SBN)
AS38444: 0.01%
AS45458: 0.30%
85 7 80 19
Ministry of Education AS23974: 0.04% 50 38 19 19
UniNet AS4621: 0.02% 30 22 15 9
CS Loxinfo
AS4750: 0.01%
AS9891: 0.03%
16 9 8 3
Chiang Mai University AS17479: 0.29% 9 9 - 2

130. 130
MALWARE URL
ตารางที่ 16 สถิติประเภท Malware URL นับตามจำ�นวนURL และหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด
10 อันดับแรก จำ�แนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำต่อจ�ำนวนหมายเลข
ไอพีของแต่ละ AS Number
(2556)
จ�ำนวนรายงานที่
ได้รับ
จ�ำนวน URL ที่
ไม่ซ�้ำ
จ�ำนวนหมายเลข
ไอพีที่ไม่ซ�้ำ
จ�ำนวนรายงานที่ได้รับ
/ จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ
CAT Telecom AS9931: 0.15% 16,732 4,170 307 54.5
Ministry of Education AS23974: 0.05% 12,807 2,853 54 237.2
CS Loxinfo
AS4750: 0.01%
AS9891: 0.35%
10,157 2,812 133 76.4
Sripatum University AS46079: 0.23% 1,218 383 3 406.0
Metrabyte AS56067: 0.46% 1,159 420 42 27.6

131. 131
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำต่อจ�ำนวนหมายเลข
ไอพีของแต่ละ AS Number
(2556)
จ�ำนวนรายงานที่
ได้รับ
จ�ำนวน URL ที่
ไม่ซ�้ำ
จ�ำนวนหมายเลข
ไอพีที่ไม่ซ�้ำ
จ�ำนวนรายงานที่ได้รับ
/ จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ
ISP Thailand AS7654: 0.06% 759 237 23 33.0
INET AS4618: 0.02% 589 232 50 11.8
KSC AS7693: 0.01% 406 79 10 40.6
True Internet
AS7470: 0.01%
AS9287: 0.03%
AS17552: 0.01%
398 54 17 23.4
UniNet AS4621: 0.02% 262 69 28 9.4

132. 132
WEB DEFACEMENT
ตารางที่ 17 สถิติประเภท Web Defacement นับตามจำ�นวน URL และหมายเลขไอพีที่ไม่ซ�้ำ
ที่ถูกรายงานสูงสุด 10 อันดับแรก จำ�แนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำต่อจ�ำนวนหมายเลข
ไอพีของแต่ละ AS Number
(2556)
จ�ำนวนรายงานที่
ได้รับ
จ�ำนวน URL
ที่ไม่ซ�้ำ
จ�ำนวนหมายเลข
ไอพีที่ไม่ซ�้ำ
จ�ำนวนรายงานที่ได้รับ
/ จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ
CAT Telecom
AS4651: 0.04%
AS9931: 0.20%
AS131090: 0.01%
3,451 3,367 419 8.2
Metrabyte AS56067: 0.66% 1,390 1,383 61 22.8
CS Loxinfo
AS4750: 0.01%
AS9891: 0.47%
AS45537: 2.34%
915 905 195 4.7
INET AS4618: 0.03% 676 675 77 8.8
Pacnet Internet AS4765: 0.04% 461 430 32 14.4

133. 133
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำต่อจ�ำนวนหมายเลข
ไอพีของแต่ละ AS Number
(2556)
จ�ำนวนรายงานที่
ได้รับ
จ�ำนวน URL
ที่ไม่ซ�้ำ
จ�ำนวนหมายเลข
ไอพีที่ไม่ซ�้ำ
จ�ำนวนรายงานที่ได้รับ
/ จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ
UniNet
AS4621: 0.06%
AS38589: 0.26%
369 364 75 4.9
Ministry of Education AS23974: 0.08% 305 283 89 3.4
ISP Thailand AS7654: 0.07% 139 138 26 5.3
POP-IDC AS131447: 0.78% 117 117 18 6.5
Netway Communication AS18362: 0.27% 98 98 11 8.9

134. 134
PHISHING
ตารางที่ 18 สถิติประเภท Phishing ที่ถูกรายงานสูงสุด 10 อันดับแรก จำ�แนกตามผู้ให้บริการเครือข่าย
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom AS4651: 0.08%
AS9931: 0.09%
AS131090: 0.01%
199 119 108 96
TOT AS9737: 0.01% 110 100 45 6
CS Loxinfo AS4750: 0.01%
AS9891: 0.26%
AS45537: 0.39%
98 62 51 37
Ministry of Education AS23974: 0.04% 44 25 19 11
Metrabyte AS56067: 0.41% 38 30 22 19

135. 135
ผู้ให้บริการอินเทอร์เน็ต
สัดส่วนจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ต่อจ�ำนวนหมายเลขไอพีของแต่ละ
AS Number (2556)
จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำ (2556
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
ก.ค. – ธ.ค. 2556 ม.ค. – มิ.ย. 2556 ก.ค. – ธ.ค. 2555
INET AS4618: 0.02% 35 22 20 15
UniNet AS4621: 0.02% 28 15 16 5
True Internet AS7470: 0.01%
AS9287: 0.02%
AS17552: 0.01%
16 10 8 7
ISP Thailand AS7654: 0.04% 15 10 6 9
Siamdata Communication AS56309: 0.49% 15 9 7 2
PROEN AS23884: 0.03% 13 7 9 6
หมายเหตุ: จ�ำนวนรายงานภัยคุกคามที่ได้รับแจ้งในปี 2556 มีจ�ำนวนเพิ่มขึ้นจากปี 2555 เป็นจ�ำนวนมาก เนื่องจาก ไทยเซิร์ต ได้ขยายเครือข่ายความร่วมมือและเพิ่มแหล่งข้อมูลภัยคุกคามเพิ่มขึ้น

136. 136
ภาคผนวก ง รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC
CERTIFICATE
ตารางที่ 19 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC-M
ล�ำดับที่ ชื่อ-นามสกุล หน่วยงาน ประเภท
1 สมลักษณ์ กิติวัฒนบ�ำรุง บ.จันวาณิชย์ จ�ำกัด iSEC-M
2 จิรพัฒน์ สุมานนท์ ส�ำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) iSEC-M
3 จิรชาติ วงศ์ทอง โรงพยาบาลศิครินทร์ iSEC-M
4 ทนงศักดิ์ กิจโรณี การไฟฟ้าส่วนภูมิภาค iSEC-M
5 กรรกร จักรกริชกูล สถาบันคุ้มครองเงินฝาก iSEC-M
6 วิจารณ์ ชัยโรจน์ ธนาคารอาคารสงเคราะห์ iSEC-M
7 เฉลิมพร ช่วยรักษา การไฟฟ้าส่วนภูมิภาค iSEC-M
8 จิตสถา ธาตวากร การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย iSEC-M
9 สุภชัย พันธ์โกศล ส่วนตัว iSEC-M
10 ปรัชญา พรนิมิตกุล ธนาคารกรุงเทพ จ�ำกัด (มหาชน) iSEC-M
11 วริศรา นาคประสงค์ การไฟฟ้านครหลวง iSEC-M

137. 137
ISEC-T
ตารางที่ 20 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA
ล�ำดับที่ ชื่อ-นามสกุล หน่วยงาน ประเภท
1 ผศ.ดร.ศุภกร กังพิศดาร คณะวิทยาการและเทคโนโลยีสารสนเทศ
มหาวิทยาลัยเทคโนโลยีมหานคร iSEC-T
2 อนุชา เกษมวัฒนากุล ส�ำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) iSEC-T
3 กมล สินสวนแตง Progress Software iSEC-T
4 ภาสกร ถายะพิงค์ VeriFone (Thailand) Co., Ltd. iSEC-T
5 ธนัท ทองอุทัยศรี NSTDA Academy iSEC-T
6 วชิรา เทพศิริ การไฟฟ้าส่วนภูมิภาค iSEC-T
7 ธนา พงษ์กิตติหล้า การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย iSEC-T
8 สุณัฏฐา จันทร์วัฒนะ บริษัท ทีโอที จ�ำกัด (มหาชน) iSEC-T
9 พ.ต. พิศุทธิ์ ม่วงสมัย กรมยุทธการทหาร กองบัญชาการกองทัพไทย iSEC-T

138. 138
สุรางคณา วายุภาพ�
ผู้อำ�นวยการ สพธอ.
ชัยชนะ มิตรพันธ์�
ผู้ช่วยผู้อำ�นวยการ สพธอ.
สรณันท์ จิวะสุรัตน์�
ผู้อำ�นวยการ สำ�นักความมั่นคงปลอดภัย
ธงชัย แสงศิริ�
รองผู้อำ�นวยการ สำ�นักความมั่นคงปลอดภัย
ฝ่ายจัดทำ�เนื้อหา
สุรางคณา วายุภาพ
ชัยชนะ มิตรพันธ
สรณันท์ จิวะสุรัตน
ธงชัย แสงศิริ
พรพรหม ประภากิตติกุล
ธงชัย ศิลปวรางกูร,
ณัฐโชติ ตุสิตานนท์
และทีมไทยเซิร์ต
ฝ่ายศิลป์และพิสูจน์อักษร
ณัฐพงศ์ วรพิวุฒิ
นภดล อุษณบุญศิริ
ณัฐนัย รวดเร็ว
ทศพร โขมพัตร
นิโรจน์ พิกุลทอง
ฝ่ายประสานงาน
รจนา ล้ำ�เลิศ
โชติกา สินโน
พรรวดี โควินทเศรษฐ
คณะผู้จัดทำ�

140. 140