รวบรวม ประมวล และถ่ายทอดสถานการณ์ด้านความมั่นคงปลอดภัยที่สำคัญในรอบปี 2557 พร้อมสถิติและตัวเลข รวมทั้งกรณีศึกษาที่น่าสนใจของประเทศไทย

3. CyBER
S E C U R I T Y
2 0 1 4

4. 04
พรชัย รุจิประภา
รัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
A n n u a l R e p o r t 2 0 1 4
รัฐบาลไดกำหนดใหเศรษฐกิจดิจิทัล เปนหนึ่งในภาคเศรษฐกิจสำคัญเพื่อสราง
ศักยภาพการแขงขันของประเทศ ดวยการสงเสริมและวางรากฐานเศรษฐกิจ
โดยใชเทคโนโลยีดิจิทัลอยางจริงจัง อยางไรก็ตาม ก็มีผูใชเทคโนโลยีเหลานี้ในทางลบ
จนทำใหมีผูไดรับผลกระทบและความเสียหายจากการโจมตีทางไซเบอรรูปแบบตาง ๆ
อยางตอเนื่องและรุนแรงขึ้นเรื่อย ๆ การมีหนวยงานเฝาระวังและรับมือกับภัยคุกคาม
ในระดับชาติอยาง ‘ไทยเซิรต’ จึงทวีบทบาทสำคัญในการสรางความเชื่อมั่น
และขับเคลื่อนประเทศใหไปสูเปาหมายที่กำหนดไว

5. 05
ปจจุบัน เทคโนโลยีดิจิทัลเขามามีบทบาทกับทุกภาคสวนในการประกอบธุรกิจ
การทำงาน การใชชีวิต การแลกเปลี่ยนเรียนรู ตลอดจนการทำกิจกรรมตาง ๆ
ดังนั้น การรักษาความมั่นคงปลอดภัยใหแกคนบนพื้นที่ไซเบอรจึงตองดำเนิน
ควบคูกัน โดยเฉพาะอยางยิ่ง เมื่อประเทศกำลังเขาสูยุคเศรษฐกิจดิจิทัล
ซึ่งตองขอบคุณ ‘ไทยเซิรต’ ที่พัฒนางานดานนี้อยางจริงจังและตอเนื่อง
ทั้งการตอบสนองและจัดการกับสถานการณภัยคุกคามรวมกับหนวยงาน
ระดับสากลและ CERT ทั่วโลก การสนับสนุนและใหคำแนะนำเพื่อแกไขภัยคุกคาม
แกหนวยงานตาง ๆ ในประเทศ รวมทั้งยังสรางความตระหนักในหมูเยาวชน
และประชาชนเพื่อใหมีภูมิคุมกันเมื่ออยูบนโลกไซเบอร
เมธินี เทพมณี
ปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

6. 06
ผลการดำเนินงานของ ‘ไทยเซิรต’ ภายใต สพธอ. เกิดขึ้นจากการทำงาน
อยางทุมเทของบุคลากรผูเชี่ยวชาญในการทำงานตลอด 24 ชั ่วโมง
เพื่อจับตาภัยคุกคามตาง ๆ พรอมประสานความรวมมือกับหนวยงานดาน
ความมั่นคงปลอดภัยไซเบอรทั้งในและตางประเทศ ไมวาจะเปน หนวยงาน
ดานกฎหมาย หนวยงานดานโครงสรางพื้นฐานสำคัญของประเทศ รวมทั้ง
หนวยงานผูเชี่ยวชาญจากเครือขายเกือบ 400 CERT ทั่วโลก ดวยความมุงมั่น
ในการรับมือและจัดการภัยคุกคามไดอยางทันสถานการณและลดผลกระทบ
รายแรงใหมากที่สุด
จรัมพร โชติกเสถียร
ประธานกรรมการบริหารสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
A n n u a l R e p o r t 2 0 1 4

7. 07
ประเทศไทยกำลังขับเคลื่อนดวยนโยบายเศรษฐกิจดิจิทัล
ซึ่งความมั่นคงปลอดภัยไซเบอรนับเปนปจจัยสำคัญที่จะนำประเทศ
ไปสูความสำเร็จจากนโยบายดังกลาว จึงจำเปนอยางยิ่งที่จะตองมี
หนวยงานที่มีความเชี่ยวชาญโดยเฉพาะ เพื่อปองกัน รับมือ หลีกเลี่ยง
และลดผลกระทบที่สามารถเกิดขึ้นไดจากภัยคุกคามตาง ๆ ในป 2557
‘ไทยเซิรต’ ภายใต สพธอ. จึงไดยกระดับความพรอมตอการรับมือภัย
คุกคามไซเบอร พรอมเดินหนาทำงานในเชิงรุกไปสูหนวยงานตาง ๆ
มากขึ้น โดยเฉพาะภาคสวนอันเปนโครงสรางพื้นฐานสำคัญ เพื่อสราง
เครือขายความมั่นคงปลอดภัยของประเทศ ควบคูกับการเผยแพรขาวสาร
ที่จะสรางความตระหนักและความพรอมในการรับมือภัยคุกคาม
สูสาธารณชนเพื่อกาวสูสังคมดิจิทัลที่มั่นคงปลอดภัย
สุรางคณา วายุภาพ
ผูอำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

8. 08
สารจากผูกำหนดทิศทาง “ไทยเซิรต”
สารบัญ/ สารบัญตาราง/ สารบัญรูป/ สารบัญกราฟ
บทนำ
บทที่ 1 ผลงานเดนและเหตุการณสำคัญในรอบป
1.1 INFOGRAPHIC
1.2 Key Events Timeline
บทที่ 2 พันธกิจไทยเซิรต
2.1 วิสัยทัศนและพันธกิจของไทยเซิรต
2.2 ลักษณะการใหบริการของไทยเซิรต
2.2.1 บริการเชิงรุกเพื่อปองกันภัยคุกคาม (Proactive services)
2.2.1.1 บริการตรวจสอบและประเมินชองโหวของระบบสารสนเทศ
(Security Audits or Assessments)
2.2.1.2 บริการแจงเตือนและเผยแพรขอมูลขาวสาร (Announcements)
2.2.1.3 บริการเฝาติดตามภัยคุกคาม (Threat Watch)
04
08
12
14
14
16
18
18
20
20
20
20
21
A n n u a l R e p o r t 2 0 1 4
CONTENTS / สารบัญ
21
21
21
22
22
22
24
24
25
27
31
32
35
35
35
36
2.2.2 บริการเชิงรับเพื่อตอบสนองภัยคุกคาม (Reactive Services)
2.2.2.1 บริการรับมือและจัดการสถานการณดานความมั่นคงปลอดภัย (Incident Handling)
2.2.2.2 บริการตรวจพิสูจนพยานหลักฐานดิจิทัล (Digital Forensics)
2.2.3 บริการบริหารคุณภาพทางดานความมั่นคงปลอดภัย
(Security Quality Management Services)
2.2.3.1 บริการวิชาการดานความมั่นคงปลอดภัย (Education and Training)
2.2.3.2 การสรางความตระหนักเรื่องความมั่นคงปลอดภัย (Awareness Building)
บทที่ 3 สถิติภัยคุกคามป 2557
3.1 สถิติภัยคุกคามที่ไทยเซิรตไดรับแจงผานระบบอัตโนมัติ
3.1.1 สถิติภัยคุกคามประเภท Botnet
3.1.2 สถิติภัยคุกคามประเภท Web Attack
3.1.3 สถิติภัยคุกคามประเภท Brute Force และ Scanning
3.2 สถิติภัยคุกคามที่ไทยเซิรตไดรับแจงผานศูนยปฏิบัติการทางไซเบอร
(Cybersecurity Operations Center: CSOC)
3.3 สถิติของศูนยดิจิทัลฟอเรนสิกส
3.4 ภัยคุกคามที่เปนกรณีศึกษาที่ไทยเซิรตเขาไปดำเนินการ
3.4.1 Malware URL Take Down
3.4.2 ไทยเซิรตจับมือ TISPA รวมจัดการ Heartbleed ชองโหวอันตรายของซอฟตแวร OpenSSL

9. 09
- การอบรม Mobile Devices Forensic
- การอบรม Advanced Small Device Forensics
- การอบรม Advanced Collaborative Digital Forensic Investigation
- การอบรม ISO/IEC 17025:2005 and ASCLD/LAB Standards
4.2.3 กิจกรรมการประชุมและสัมมนาที่ไทยเซิรตเขารวม
- 49th
and 50th
APEC Telecommunications and Information Working Group
(APEC TEL WG)
- National Cyber Security Conference @ National Defense Studies
Institute Security Week 2014
- งานเสวนา Cyber Attacks: The Biggest Threat to National Security
3.4.2 ไทยเซิรตจับมือ TISPA รวมจัดการ Heartbleed ชองโหวอันตรายของซอฟตแวร OpenSSL
3.4.3 Internet Banking Fraud
3.4.4 กรณี มัลแวรโจมตีหนวยงานราชการ APT (Advanced Persistent Threat)
3.4.5 กรณี ปญาชองโหวของอุปกรณเชื่อมตออินเทอรเน็ตภายในบาน (Router)
3.4.6 กรณี ตรวจพิสูจนเครื่องคอมพิวเตอรติดมัลแวร CryptoDefense
บทที่ 4 การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร
4.1 การพัฒนาศักยภาพบุคคลกรผานการสงเสริมใหบุคคลากร
มีประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอร
4.1.1 ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอรจากตางประเทศ
4.1.2 ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอรภายในประเทศ
4.2 การพัฒนาศักยภาพบุคคลกรผานการเขารวมการอบรมสัมมนา
4.2.1 กิจกรรมอบรมสัมมนาที่ไทยเซิรตเปนเจาภาพ
- รวมกับ JPCERT/CC จัดฝกอบรมดานความมั่นคงปลอดภัยใหกับ LaoCERT
- การซักซอมรับมือภัยคุกคามของหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ต
- รวมกับ JPCERT/CC จัดงาน Malware Analysis Competition (MAC) 2014
- SANS Secure Thailand 2014
4.2.2 กิจกรรมที่ศูนยดิจิทัลฟอเรนสิกสเปนเจาภาพ
- งานสัมนา Digital Evidence: Practices, Standards and Court Admissibility
36
36
38
38
39
40
40
40
41
41
41
41
41
42
42
43
43
43
44
44
44
44
44
45
45

10. 10
บทที่ 5 ภาคผนวก
ภาคผนวก ก ประเภทภัยคุกคามที่ไดรับแจง
ภาคผนวก ข รายการซอฟตแวรที่ไทยเซิรตเฝาติดตามเพื่อรายงาน
สรุปชองโหวประจำสัปดาห
ภาคผนวก ค คำอธิบายของหมายเลขพอรตที่พบการใชงานบอย
ภาคผนวก ง ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอร
ในระดับสากลที่เจาหนาที่ไทยเซิรตไดรับ
ภาคผนวก จ รายชื่อหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ต
ที่เขารวมการซอมรับมือภัยคุกคาม
ภาคผนวก ฉ รายชื่อมหาวิทยาลัยที่เขารวมการแขงขัน MAC 2014
ภาคผนวก ช จำนวนผูเขารวมอบรมกิจกรรมที่ศูนยดิจิทัลฟอเรนสิกส
เปนเจาภาพแยกตามหนวยงาน
สารบัญตาราง
ตารางที่ 1 ประเภทขอมูลเผยแพร
ตารางที่ 2 จำนวนหมายเลขไอพีที่ไมซ้ำที่ไดรับรายงาน
ในแตละประเภทภัยคุกคามในป 2556 และ 2557
ตารางที่ 3 ความสามารถของมัลแวรสายพันธุตาง ๆ
46
46
49
51
51
54
54
55
20
25
26
26
29
30
31
33
33
33
46
47
49
ตารางที่ 4 เปรียบเทียบอันดับของมัลแวรประเภท Botnet ที่ไดรับแจง
ระหวางป 2556-2557
ตารางที่ 5 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงาน
ประเภท Malware URL สูงที่สุด
ตารางที่ 6 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงาน
ประเภท Phishing สูงที่สุด
ตารางที่ 7 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงาน
ประเภท Web Defacement สูงที่สุด
ตารางที่ 8 10 อันดับแรกของประเทศของผูที่แจงเหตุภัยคุกคามมายัง
ไทยเซิรตในป 2557
ตารางที่ 9 ขอมูลการดำเนินการเหตุภัยคุกคามทั้งหมด จำแนกตาม
ผูเกี่ยวของและแหลงที่มาของผูเกี่ยวของ
ตารางที่ 10 ขอมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนก
ตามผูเกี่ยวของและแหลงที่มาของผูเกี่ยวของ
ตารางที่ 11 ประเภทภัยคุกคามที่ไดรับแจงผานระบบอัตโนมัติ
ตารางที่ 12 ประเภทภัยคุกคามที่ไดรับการประสานเพื่อรับมือ
และจัดการโดยไทยเซิรต
ตารางที่ 13 รายการซอฟตแวรที่ไทยเซิรตเฝาติดตามเพื่อรายงาน
สรุปชองโหวประจำสัปดาห
A n n u a l R e p o r t 2 0 1 4

11. 11
51
51
54
54
55
37
38
25
27
27
ตารางที่ 14 คำอธิบายของหมายเลขพอรตที่พบการใชงานบอย
ตารางที่ 15 ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอร
ในระดับสากลที่เจาหนาที่ไทยเซิรตไดรับ
ตารางที่ 16 รายชื่อหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ต
ที่เขารวมการซอมรับมือภัยคุกคาม
ตารางที่ 17 รายชื่อมหาวิทยาลัยที่เขารวมการแขงขัน MAC 2014
ตารางที่ 18 อภิธานศัพทและคำยอ
สารบัญรูป
รูปที่ 1 การทำงานของคนรายเพื่อลักลอบโอนเงิน
จากบัญชีธนาคารออนไลนของผูเสียหาย
รูปที่ 2 การประสานงานรวมกันระหวาง ธนาคาร – ไทยเซิรต – หนวยงาน
ตำรวจในการรับมือกรณีการโจรกรรมบัญชีธนาคารออนไลน
สารบัญกราฟ
กราฟที่ 1 อันดับแรกของมัลแวรประเภท Botnet ที่ไดรับแจง
กราฟที่ 2 สถิติการบุกรุกเว็บไซตแบบตาง ๆ
กราฟที่ 3 สถิติภัยคุกคามประเภท Malware URL
จำแนกตามประเภทของโดเมนเนม
28
28
28
29
30
31
32
32
34
34
34
กราฟที่ 4 สถิติภัยคุกคามประเภท Phishing
จำแนกตามประเภทของโดเมนเนม
กราฟที่ 5 สถิติภัยคุกคามประเภท Web Defacement
จำแนกตามประเภทของโดเมนเน
กราฟที่ 6 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท
Malware URL สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ
กราฟที่ 7 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท Phishing
สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ
กราฟที่ 8 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท
Web Defacement สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ
กราฟที่ 9 10 อันดับแรกของหมายเลขพอรตที่ถูกโจมตีสูงที่สุด
นับตามจำนวนหมายเลขไอพีที่ไมซ้ำ
กราฟที่ 10 จำนวนเหตุภัยคุกคามที่ไทยเซิรตดำเนินการระหวางป 2554–2557
กราฟที่ 11 สถิติเหตุภัยคุกคามที่ไทยเซิรตไดรับแจงโดยตรงในป 2557
จำแนกตามประเภทของภัยคุกคาม
กราฟที่ 12 ขอมูลผูเสียหายจากเหตุภัยคุกคามประเภท Fraud
กราฟที่ 13 ขอมูลผูแจงเหตุภัยคุกคามประเภท Fraud
กราฟที่ 14 ขอมูลผูโจมตีจากเหตุภัยคุกคามประเภท Fraud

12. 12
ในยุคปจจุบันที่ภัยคุกคามไซเบอร มีรูปแบบที่เปลี่ยนแปลงไปจากอดีตและมีแนวโนมขยายตัวอยางรวดเร็ว
และทวีความรุนแรงมากขึ้นเรื่อย ๆ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน)
(สพธอ.) ภายใตกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ซึ่งเปนหนวยงานหลักของประเทศ
ที่มีหนาที่สงเสริมการทำธุรกรรมทางอิเล็กทรอนิกสหรือธุรกรรมออนไลนเติบโตขึ้นอยางมั่นคงปลอดภัย
จึงมอบหมายภารกิจสำคัญใหกับ“ไทยเซิรต” (Thailand Computer Emergency Response
Team – ThaiCERT) ซึ่งเปนหนวยงานในสังกัด ใหทำงานเชิงรุกเพื่อเปนกลไกสำคัญของประเทศ
ดานความมั่นคงปลอดภัยไซเบอร ทั้งการตอบสนองและจัดการกับสถานการณดานความมั่นคงปลอดภัย
การสนับสนุนที่จำเปนและใหคำแนะนำในการแกไขภัยคุกคามแกหนวยงานตาง ๆ รวมทั้งติดตามและ
เผยแพรขาวสารและเหตุการณทางดานความมั่นคงปลอดภัยไซเบอรตอสาธารณชน ตลอดจนทำการ
ศึกษาและพัฒนาเครื่องมือและแนวทางตาง ๆ ในการปฏิบัติเพื่อเพิ่มความมั่นคงปลอดภัยในการใช
ระบบสารสนเทศและเครือขายอินเทอรเน็ต
ผลการดำเนินงานของที่ผานมาของไทยเซิรต เกิดขึ้นจากการทำงานอยางทุมเทของบุคลากร
ผูเชี่ยวชาญที่มีทักษะสูง ซึ่งทำหนาที่ตลอด 24 ชั่วโมงในการเฝาระวังภัยคุกคามตาง ๆ พรอมประสาน
ความรวมมือกับหนวยงานดานความมั่นคงปลอดภัยไซเบอรทั้งในและตางประเทศ เชน สมาคมธนาคารไทย
สำนักงานตำรวจแหงชาติ เครือขาย CERT
1
กวา 400 หนวยงานทั่วโลก รวมถึงผูใหบริการอินเทอรเน็ต
หรือบริการอื่น ๆ ที่เกี่ยวของ เพื่อใหความชวยเหลือที่จำเปนในการรับมือและจัดการภัยคุกคามไดอยาง
ทันสถานการณและลดผลกระทบรายแรงใหมากที่สุดในรอบป 2557 ที่ผานมา ไทยเซิรตไดรับมือและ
จัดการกับสถานการณดานความมั่นคงปลอดภัยไซเบอรทั้งที่ไดรับแจงและตรวจพบเองทั้งหมด 4,008 รายการ
ซึ่งเพิ่มขึ้นจากป 2556 1,745 รายการ หรือ 2.3 เทา โดยสถานการณดานความมั่นคงปลอดภัยไซเบอร
ที่ตรวจพบในปนี้ แบงออกเปน
• ภัยคุกคามประเภทโปรแกรมประสงคราย (Malicious Code) มากที่สุด จำนวน 1,738 รายการ
คิดเปนสัดสวน 43.3%
• การฉอโกงหรือหลอกลวง (Fraud) จำนวน 1,007 รายการ คิดเปนสัดสวน 25.2%
• การบุกรุกหรือเจาะระบบที่สามารถเจาะระบบไดสำเร็จ (Intrusions) จำนวน 709 รายการ
คิดเปนสัดสวน 17.8%
• ความพยายามบุกรุกเขาระบบ (Intrusion Attempts) จำนวน 504 รายการ คิดเปนสัดสวน 12.5%
ซึ่งขอมูลเหลานี้สะทอนใหเห็นวาการพัฒนาไปสูเศรษฐกิจและสังคมดิจิทัลของประเทศไทยนั้นมี
ภัยคุกคามไซเบอรเปนอุปสรรคที่สำคัญอยางหนึ่ง จึงจำเปนอยางยิ่งที่จะตองมีหนวยงานที่มี
ความเชี่ยวชาญโดยเฉพาะใหความสำคัญกับปญหาเหลานี้ เพื่อปองกัน รับมือ หลีกเลี่ยง และลด
ผลกระทบที่สามารถเกิดขึ้นไดจากภัยคุกคามตาง ๆ ซึ่งไทยเซิรตไดยกระดับความพรอมตอการรับมือ
ภัยคุกคามที่อาจจะเกิดขึ้นใหแกหนวยงานตาง ๆ โดยไดริเริ่มโครงการจัดตั้ง sector-based CERT
โดยไดมีการจัดอบรม สัมมนา เพื่อใหความรูดานการจัดตั้งหนวยงาน CERT ในแตละภาคสวนอันเปน
โครงสรางพื้นฐานสำคัญเพื่อสรางเครือขายความมั่นคงปลอดภัยของประเทศ พรอมทั้งสนับสนุน
เครื่องมือและกลไกในการตรวจจับและวิเคราะหภัยคุกคาม รวมทั้งใหบริการตรวจสอบและประเมิน
ชองโหวของระบบสารสนเทศสำคัญในหนวยงาน อีกดานหนึ่งไดเผยแพรขาวสารดานความมั่นคง
ปลอดภัยจากแหลงขอมูลที่นาเชื่อถือจากทั้งภายในและตางประเทศ เพื่อสรางความตระหนักและ
ความพรอมในการรับมือภัยคุกคามสูสาธารณชน
ไทยเซิรตยังมีภารกิจสำคัญในการใหคำปรึกษาแกเจาหนาที่ของหนวยงานบังคับใชกฎหมายและ
หนวยงานในกระบวนการยุติธรรมในดานการตรวจพิสูจนหลักฐานทางดิจิทัลดวยความพรอม
บทนำ
1CERT (Computer Emergency Response Team) คือหนวยงานที่มีหนาที่ประสานและจัดการภัยคุกคามที่เกิดขึ้นกับระบบสารสนเทศ

13. 13
ของบุคลากรและเครื่องมือในการเก็บรวบรวมและวิเคราะหขอมูลหลักฐานอิเล็กทรอนิกสที่เกี่ยวของ
กับการกระทำความผิดเกี่ยวกับคอมพิวเตอรและการโจมตีทางไซเบอรในรูปแบบตาง ๆ โดยใช
กระบวนการที่สอดคลองกับหลักมาตรฐานสากล เพื่อสนับสนุนการอำนวยความยุติธรรมใหแก
ประชาชนอยางถูกตอง เที่ยงธรรมและโปรงใส นอกจากนี้ ยังมีเปาหมายที่จะยกระดับการใหบริการ
เพื่อสนับสนุนการปฏิบัติงานในระบบศาลอิเล็กทรอนิกส (e-Court) ในอนาคตอีกดวย
จากการที่ปจจุบัน ประเทศไทยกำลังขับเคลื่อนดวยนโยบายเศรษฐกิจดิจิทัล หรือ Digital Economy
ซึ่งความมั่นคงปลอดภัยไซเบอรนับเปนปจจัยสำคัญประการหนึ่งที่จะนำประเทศไปสูความสำเร็จ
จากนโยบายดังกลาว ขณะที่บุคลากรดานนี้ยังมีจำนวนไมมากนักและเปนที่ตองการของทั่วโลก
ไทยเซิรตจึงสงเสริมและประสานความรวมมือกับหนวยงาน องคกร และสถาบันชั้นนำทั้งในและ
ตางประเทศเพื่อการพัฒนาบุคลากรดานนี้อยางตอเนื่อง พรอมทั้งจัดสรรเครื่องมือ และปรับปรุง
แนวทางปฏิบัติของหนวยงานใหมีความทันสมัย สอดรับกับเทคโนโลยีที่พัฒนาอยูเสมอ เพื่อรักษา
ระดับคุณภาพและมาตรฐานการใหบริการ และเพิ่มศักยภาพของหนวยงานใหเพียงพอตอการรับมือ
กับภัยคุกคามไซเบอรใหม ๆ ในป 2557 บุคคลากรของไทยเซิรตไดรับประกาศนียบัตรวิชาชีพในดาน
ความมั่นคงปลอดภัยไซเบอรและการตรวจพิสูจนพยานหลักฐานทางดิจิทัลในระดับสากล 13 คน
โดยมีจำนวนประกาศนียบัตรสะสมทั้งหมด 41 ใบ ทั้งนี้หนวยงานของไทยเซิรตมีบุคคลกรที่มี
ประกาศนียบัตรคิดเปนสัดสวน 76% ของพนักงานทั้งหมด 17 คน อีกทั้งไทยเซิรตยังมีบทบาท
เปนผูผลักดันการพัฒนาบุคลากรใหแกหนวยงานภาครัฐและหนวยงานดานโครงสรางพื้นฐานสำคัญ
เชน ภาคการเงินการธนาคาร ใหมีโอกาสไดรับการอบรมและสอบใบประกาศนียบัตรวิชาชีพดาน
ความมั่นคงปลอดภัยไซเบอรทั้งในระดับประเทศและระดับสากล เพื่อยกระดับความสามารถของ
บุคลากรในสายอาชีพดานนี้ของประเทศไทยใหพรอมรับมือกับภัยคุกคามจากทั่วโลก
รายงานประจำป พ.ศ. 2557 ของไทยเซิรตฉบับนี้ จัดทำขึ้นเพื่อรวบรวมและเผยแพรขอมูลผล
การปฏิบัติงานประจำป และคาดหวังวาจะเปนประโยชน ทั้งในแงขอมูลและสถิติ ที่สามารถนำไปอางอิง
ในทางวิชาการ อีกทั้งเปนสวนหนึ่งในการสรางความตระหนักรูเรื่องความมั่นคงปลอดภัยไซเบอร
สูประชาชนทั่วไป ตลอดจนกระตุนใหภาคสวนที่เกี่ยวของใหความสนใจในการพัฒนาบุคลากรดานนี้
รวมทั้งยังจะเปนประโยชนตอผูบริหารที่มีหนาที่กำหนดนโยบายหรือแผนปฏิบัติการของหนวยงาน
เพื่อกำหนดแนวทางในการจัดการและตอบสนองกับแนวโนมภัยคุกคามไซเบอรอยางเหมาะสมตอไป
สุรางคณา วายุภาพ
ผูอำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

14. 14
บทที่ 1
ผลงานเดนและ
เหตุการณสำคัญ
ในรอบป
พัฒนาบุคลากรดาน
Cybersecurity กวา 110 คน
อบรมเพื่อเตรียมสอบใบรับรอง CISSP 20 คน
อบรมและสอบใบรับรอง GCIH 10 คน
อบรมและแขงขัน MAC 2014 42 คน
อบรม ISO/IEC 17025: 2005 and ASCLD/LAB
Standards Training 15 คน
อบรม Advanced Small Device Forensics
Training 9 คน
อบรม Advanced Collaborative Digital Forensic
Investigation Training 14 คน
บุคลากรไทยเซิรตไดรับ 45ใบรับรองสากลสะสม
ในป 2014
ดาน Security Techniques 28 ใบรับรอง
ดาน Security Management & Audit 6 ใบรับรอง
ดาน Digital Forensics 11 ใบรับรอง
1
ผลงานดาน
การพัฒนาบุคลากร

15. 15
2
ผลงานดานสถิติของสถานการณ
ดานความมั่นคงปลอดภัย
3
ผลงานดานกิจกรรม
และบริการตาง ๆ ของ ThaiCERT
ประสานงานและแจงเตือนภัยคุกคาม
ที่เกิดขึ้นในประเทศไทยจากเครือขาย CERT
ทั้งสิ้น 141 ลานรายการ
ซึ่งเกี่ยวของกับจำนวนไอพี 3.2 ลานหมายเลข
รับมือและจัดการภัยคุกคามไซเบอร 4,007 เรื่อง
ไดรับแจง 1,991 เรื่อง/ตรวจพบเอง 2,016 เรื่อง
เพิ่มขึ้นจากป 2556 2,262 เรื่อง (2.3 เทา)
เวลาเฉลี่ยแกไขปญหา Phishing
คาเฉลี่ยในการปด Phishing Site 23:32 ชั่วโมง
(ลดจากป 2556 25%)
ตรวจสอบชองโหวมากกวา 150 เว็บไซต
ตรวจพบและใหคำแนะนำในการแกไขชองโหว
มากกวา 580 ชองโหว
จัด Cyber Drill จำลองสถานการณ
การถูกขโมยเงินในบัญชี e-banking
มีหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ต
17 หนวยงานเขารวม
เจาภาพประชุมสัมมนานานาชาติ
The RAISE Forum ครั้งที่ 14
4
ผลงานดานการตรวจวิเคราะห
พยานหลักฐานดิจิทัล
ตรวจพิสูจนพยานหลักฐานดิจิทัล 21กรณี
(เพิ่มจากป 2556 2 เทา)
รวมปริมาณขอมูลตรวจพิสูจน 8 เทราไบต
8
TB

16. 16
1.2 Key Events Timeline
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน ระวังภัย ชองโหวในเราเตอร
TP-LINK ผูประสงครายสามารถ
ควบคุมเราเตอรของเหยื่อได
มกราคม
กุมภาพันธ
กิจกรรมที่สำคัญ
- เขารวมซักซอมรับมือภัยคุกคาม
กับเครือขาย APCERT (APCERT Drill)
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน Yahoo Mail ถูกแฮก ผูใชงาน
ควรรีบเปลี่ยนรหัสผานทันที
- แจงเตือน ระวังภัย ชองโหว 0-day ใน Internet Explorer 9,
10 (CVE-2014-0322) หนวยงานในสหรัฐถูกโจมตีแลว
มีนาคม
กิจกรรมที่สำคัญ
- เจาภาพงานสัมมนา ThaiCERT/ETDA Security Seminar
“The War against Advanced Cyber Threats”
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน ระวังภัย พบแอปพลิเคชันปลอมของธนาคาร
ในประเทศไทยใน Google Play Store
เมษายน
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือนและรวมมือกับ TISPA แถลงขาวเรื่อง
“การกำหนดมาตรการรวมรับมือ Heartbleed”
- แจงเตือน ระวังภัย ชองโหวใน Adobe Flash Player
ผูประสงครายสามารถควบคุมเครื่องได (CVE)
พฤษภาคม
กิจกรรมที่สำคัญ
- รวมกับ SANS จัดอบรม SANS Secure Thailand 2014
จัดอบรมจัดตั้ง CERT ใหกับ LaoCERT จัดซักซอมรับมือ
ภัยคุกคามใหธนาคารและผูใหบริการอินเทอรเน็ต
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน ระวังภัย แอปธนาคารปลอมบนแอนดรอยด
มิถุนายน
กิจกรรมที่สำคัญ
- รวมกับ Thailand Information Security Association (TISA)
จัดอบรมและสอบ CISSP
- เจาภาพจัดงานสัมมนา Open Forum: Digital evidence:
Practices, standards, and Court Admissibility
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน ระวังภัย มัลแวร GameOver มีผูใชในประเทศไทย
ตกเปนเหยื่อแลวกวาสามพันสี่รอยราย

17. 17
กรกฎาคม เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน พบชองโหวที่ทำใหขอมูลไฟลบน Google
สิงหาคม
กิจกรรมที่สำคัญ
- เจาภาพจัดการประชุมนานาชาติ The RAISE Forum ครั้งที่ 14
- จัดการอบรม ISO/IEC 17025:2005
and ASCLD/LAB Standards Training
- จัดการอบรม Advanced Small Device Forensics Training
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน ระวังภัย มัลแวรใน Android (แจง.apk, รับทราบ.apk)
แพรกระจายดวยการสง SMS
กันยายน
กิจกรรมที่สำคัญ
- เขารวมซักซอมรับมือภัยคุกคามไซเบอรในภูมิภาค
ASEAN (ASEAN CERT Incident Drill)
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน Adobe ออกอัปเดตปดชองโหว Adobe Reader,
Acrobat และ Adobe Flash Player
ตุลาคม
กิจกรรมที่สำคัญ
- เจาภาพจัดการแขงขัน MAC 2014
- จัดการอบรม Advanced Collaborative Digital
Forensic Investigation Training
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน ระวังภัย เตือนภัยแฮกไลน (LINE)
- แจงเตือน ระวังภัย ชองโหวในซอฟตแวร Bash ผูประสงคราย
สามารถสงคำสั่งอันตรายไปประมวลผล ยังเครื่องของเหยื่อไดทันที
(Shellshock, CVE-2014-6271, CVE-2014-7169)
- แจงเตือน ระวังภัย ชองโหวโพรโทคอล SSL เวอรชัน 3 ผูประสงคราย
สามารถถอดรหัสลับขอมูลที่รับสงกับเซิรฟเวอรได
พฤศจิกายน
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือนภัยมัลแวรสายพันธุใหม
ธันวาคม
เหตุการณและการแจงเตือนที่สำคัญ
- แจงเตือน ระวังภัย ชองโหวใน Drupal
ผูประสงครายสามารถขโมยขอมูล
ในฐานขอมูลได

18. 18
บทที่ 2
บทบาทของไทยเซิรต
ไทยเซิรต ภายใตการกำกับดูแลของ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน)
(สพธอ.) เปนหนวยงานหลักของรัฐที่ทำหนาที่รับแจงและรับมือกับภัยคุกคามไซเบอรที่อาจเกิดขึ้นโดย
ไมสามารถคาดการณลวงหนา เพื่อแกไขปญหาความมั่นคงปลอดภัยไซเบอร (cybersecurity) โดยอาศัย
ความรวมมือกับหนวยงานในประเทศและเครือขาย CERT จากทั่วโลก ไทยเซิรตมีวิสัยทัศนที่จะสรางสรรค
สังคมออนไลนใหมีความมั่นคงปลอดภัย และสรางความเชื่อมั่นแกผูทำธุรกรรมทางอิเล็กทรอนิกส รวมทั้ง
สรางความเขมแข็งใหกับหนวยงานโครงสรางพื้นฐานสำคัญ (critical infrastructure) ของประเทศ เพื่อ
สนับสนุนนโยบายของรัฐบาลที่จะขับเคลื่อนประเทศดวยนโยบายเศรษฐกิจดิจิทัล
2.1 โครงสรางไทยเซิรต
ในป 2557ไทยเซิรตยายมาอยูในพื้นที่มั่นคงปลอดภัยชั้น 20 อาคารเดอะ ไนน ทาวเวอร แกรนด
พระรามเกา (อาคารบี) และจัดตั้งศูนยใหบริการเฉพาะตามภารกิจ 2 แหง ไดแก
• ศูนยปฏิบัติการทางไซเบอร (CyberSecurity Operations Center หรือ CSOC) ประกอบดวย
ระบบรับแจงเหตุและติดตามสถานะภัยคุกคามไซเบอร ระบบเฝาระวังและรายงานผลภัยคุกคามไซเบอร
แบบเรียลไทม รวมถึงระบบวิเคราะหภัยคุกคามไซเบอรในรูปแบบตาง ๆ เพื่อใหสามารถตอบสนองตอ
ภัยคุกคามไซเบอรที่เกิดขึ้นอยางตอเนื่อง และภัยคุกคามไซเบอรรูปแบบใหมอยางมีประสิทธิภาพ พรอม
เจาหนาที่ปฏิบัติการตลอด 24 ชั่วโมง
• ศูนยดิจิทัลฟอเรนสิกส (Digital Forensics Center: DFC) ประกอบดวยหองปฏิบัติการที่มีเครื่องมือ
ตรวจคอมพิวเตอร โทรศัพท/อุปกรณเคลื่อนที่ และสื่อบันทึกขอมูลดิจิทัลที่ทันสมัย หองปฏิบัติการ
รวมดิจิทัลฟอเรนสิกส (Joint Digtital Forensics Laboratory) ที่สามารถใชปฏิบัติงานรวมระหวางไทยเซิรต
กับหนวยงานภายนอกที่ตองการรับบริการตรวจพิสูจนพยานหลักฐานดิจิทัล และมีหองCleanroomclass100
สำหรับซอมฮารดดิสกและกูคืนขอมูล
A n n u a l R e p o r t 2 0 1 4

19. 19

20. 20
มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต (Website Security Standards – WSS) ไดจาก
http://thcert.co/BBGFnx
2.2.1.2 บริการแจงเตือนและเผยแพรขอมูลขาวสารภัยคุกคามไซเบอร
ไทยเซิรตใหบริการแจงเตือนเผยแพรบทความและขาวสารที่เปนประโยชนกับผูดูแลระบบสารสนเทศ
และบุคคลทั่วไปในเว็บไซตไทยเซิรต https://www.thaicert.or.th เพื่อใหทันกับการเปลี่ยนแปลงทาง
เทคโนโลยีและภัยคุกคามรูปแบบใหมๆ ผูที่สนใจสามารถอานหรือดาวนโหลดขอมูลในรูปแบบ PDF เชน
รายงานประจำปที่รวบรวมขอมูลสถิติ การวิเคราะหภัยคุกคามสำคัญ กรณีศึกษาที่นาสนใจในรอบป
หนังสือรวมบทความเกี่ยวกับภัยคุกคามไซเบอรของไทยเซิรตและขาวสั้น รวมถึงสถิติภัยคุกคามที่ผานมา
โดยขอมูลเผยแพรนั้นสามารถแบงไดเปนบทความทั่วไป บทความเชิงเทคนิค ขาวสั้น และประกาศ
รายชั่วโมง ตามตารางที่ 1
2.2 บริการของไทยเซิรต
ไทยเซิรตใหบริการแกหนวยงานภายนอก 3 รูปแบบคือ บริการเชิงรุกเพื่อปองกันภัยคุกคาม บริการ
เชิงรับเพื่อตอบสนองภัยคุกคาม และบริการบริหารจัดการดานความมั่นคงปลอดภัย
• บริการเชิงรุกเพื่อปองกันภัยคุกคาม (Proactive Services)
• บริการเชิงรับเพื่อตอบสนองภัยคุกคาม (Reactive Services)
• บริการบริหารคุณภาพทางดานความมั่นคงปลอดภัย (Security Quality Management Services)
2.2.1 บริการเชิงรุกเพื่อปองกันภัยคุกคาม (Proactive Services)
การใหบริการสนับสนุนการปฏิบัติงาน ขอมูล และคำปรึกษา ในการปองกันระบบสารสนเทศจาก
การถูกโจมตีทางไซเบอร เพื่อลดความเสี่ยงและควบคุมความเสียหายที่อาจเกิดขึ้น เชน บริการตรวจสอบ
และประเมินชองโหวของระบบสารสนเทศ (Security Audit and Assessment) บริการแจงเตือนและเผยแพร
ขอมูลขาวสาร (Announcement) และบริการเฝาติดตามภัยคุกคาม (Threat Watch)
2.2.1.1 บริการตรวจสอบและประเมินชองโหวของระบบสารสนเทศ (Security Audit and Assessment)
บริการตรวจสอบและประเมินชองโหวระบบสารสนเทศ ชวยใหหนวยงานรูสถานการณดาน
ความมั่นคงปลอดภัย ปญหา และชองโหวของระบบสารสนเทศ ซึ่งหนวยงานควรตรวจสอบอยางสม่ำเสมอ
เพื่อดำเนินการแกไขกอนเกิดเหตุและเปนขอมูลประกอบการจัดทำแผนบริหารจัดการความเสี่ยง
(Risk Management Plan: RMP) และแผนบริหารจัดการความตอเนื่องทางธุรกิจ (Business Continuity
Management: BCM) ที่เหมาะสม
ในป 2557 ไทยเซิรตไดใหบริการตรวจสอบและประเมินชองโหว (Vulnerability Assessment)
ของระบบสารสนเทศใหแกหนวยงานของรัฐและหนวยงานที่เปนโครงสรางพื้นฐานสำคัญของประเทศไทย
จำนวนมากกวา 150 ระบบ พบจำนวนชองโหวรวมกันมากกวา 580 ชองโหว และในจำนวนนี้มีชองโหว
ในระดับรายแรงที่มีความเสี่ยงตอการถูกเจาะ เขาถึง และเขาควบคุมระบบสารสนเทศถึง 35% ของจำนวน
ชองโหวทั้งหมดที่ตรวจพบ ดังนั้น เพื่อลดความเสี่ยงการถูกโจมตีจากชองโหวของระบบสารสนเทศ ไทยเซิรต
ไดรวมกับสำนักมาตรฐาน สพธอ. จัดทำคูมือปฏิบัติสำหรับหนวยงานใชอางอิงในการพัฒนาและบริหาร
จัดการเว็บไซตและระบบสารสนเทศใหมีความมั่นคงปลอดภัย ผูที่สนใจสามารถดาวนโหลดคูมือขอเสนอแนะ
มาตรฐานดานเทคโนโลยีสารสนเทศและการสื่อสารที่จำเปนตอธุรกรรมทางอิเล็กทรอนิกสวาดวย
A n n u a l R e p o r t 2 0 1 4
ตารางที่ 1 ประเภทขอมูลเผยแพร
บทความทั่วไป
บทความดานความมั่นคงปลอดภัยที่หยิบยกประเด็นตาง ๆ ที่อาจมี
ผลกระทบกับคนในประเทศขึ้นมาอธิบายใหผูอานทั่วไปเกิดความเขาใจ
และความตระหนักถึงความเสี่ยง/ผลกระทบที่อาจเกิดขึ้น พรอมทั้งบทสรุป
และขอแนะนำที่ผูอานทั่วไปสามารถเขาใจและนำไปปรับใชได เชน
บทความ “ภาพหลุดดารา กับปญหาความมั่นคงปลอดภัยในการใชงาน
iCloud” “ขอแนะนำสำหรับผูที่ยังใชงาน Windows XP หลังสิ้นสุดระยะ
เวลาการสนับสนุนทางเทคนิค” เปนตน
ประเภทขอมูลเผยแพร คำอธิบาย

21. 21
2.2.1.3 บริการเฝาระวังภัยคุกคาม
ไทยเซิรตใหบริการเฝาระวังและติดตามภัยคุกคามไซเบอรโดยรวบรวมและวิเคราะหขอมูล
ที่ไดรับจากเครือขาย CERT และแหลงขอมูลสาธารณะจากอินเทอรเน็ต เชน การเฝาระวังการแพรกระจาย
ของมัลแวร การตรวจสอบสถานะความพรอมใหบริการเว็บไซต และตรวจสอบเว็บไซตที่ถูกเจาะระบบ
หรือเปลี่ยนแปลงขอมูล เปนตน
2.2.2 บริการเชิงรับเพื่อตอบสนองตอเหตุภัยคุกคาม (Reactive Services)
การใหบริการเชิงรับเพื่อตอบสนองตอเหตุภัยคุกคามที่อาจสงผลกระทบตอระบบสารสนเทศ แบงเปน
2 ประเภทไดแก บริการรับมือและจัดการสถานการณดานความมั่นคงปลอดภัย (Incident Handling)
และบริการตรวจพิสูจนพยานหลักฐานดิจิทัล (Digital Forensics)
2.2.2.1 บริการรับมือและจัดการสถานการณดานความมั่นคงปลอดภัย (Incident Handling)
ไทยเซิรตเปนตัวแทนประเทศไทยในเครือขายCERT ระหวางประเทศ เชน เครือขายAsiaPacificCERT
(APCERT) และ Forum of Incident Response and Security Teams (FIRST) ที่ทำหนาที่รับแจงเหตุ
ภัยคุกคาม ตรวจสอบ วิเคราะหหาสาเหตุของปญหา และประสานงานกับหนวยงานที่เกี่ยวของเพื่อระงับ
เหตุและแกไขปญหานั้น ๆ ดวยรูปแบบบริการในลักษณะ 24x7 เพื่อจำกัดวงความเสียหายที่อาจเกิดขึ้น
พรอมฟนฟูระบบและการใหบริการโดยเร็วที่สุด
ในป 2557 ไทยเซิรตไดบริการรับมือและจัดการสถานการณดานความมั่นคงปลอดภัยไปแลว
4,008 รายการ แบงเปน ภัยคุกคามประเภทโปรแกรมประสงคราย (Malicious Code) สูงสุดคิดเปนสัดสวน
43.3% ตามดวยการฉอโกงหรือหลอกลวง (Fraud) 25.2% การบุกรุกหรือเจาะระบบไดสำเร็จ (Intrusions)
17.8% และความพยายามบุกรุกเขาระบบ (Intrusion Attempts) 12.5% ตามลำดับ
2.2.2.2 บริการตรวจพิสูจนพยานหลักฐานดิจิทัล (Digital Forensics)
ไทยเซิรตใหบริการตรวจพิสูจนพยานหลักฐานดิจิทัลและออกรายงานผลการตรวจวิเคราะห
ผานศูนยดิจิทัลฟอเรนสิกส (Digital Forensics Center: DFC) ซึ่งมีผูเชี่ยวชาญที่ไดรับประกาศนียบัตร
รับรองความสามารถในการวิเคราะหคอมพิวเตอร โทรศํพท/อุปกรณเคลื่อนที่ และสื่อบันทึกขอมูลดิจิทัล
ที่ไดรับการยอมรับทั่วโลก เชน CFCE, ENCE, GCFE, ACE, AME เปนตน ในป 2557 ศูนยดิจิทัลฟอเรนสิกส2 ดูรายการซอฟตแวรที่ไทยเซิรตเฝาติดตามเพื่อรายงานสรุปชองโหวประจำสัปดาหจากตารางที่ 1 ในภาคผนวก ข หนา 49
3 Common Vulnerability Scoring System (CVSS) มาตรฐานในการประเมินระดับความรุนแรงของชองโหวดานความมั่นคงปลอดภัยคอมพิวเตอร
ซึ่งออกแบบโดยหนวยงานดานความมั่นคงปลอดภัย FIRST ที่เปนเครือขาย CERT ในระดับสากล (https://www.first.org/cvss)
บทความเชิงเทคนิค
ขาวสั้น
ประกาศรายการ
ชองโหว
บทความเชิงเทคนิคที่เขียนโดยผูที่มีความรูความชำนาญในดานความมั่นคง
ปลอดภัยไซเบอร เชน การวิเคราะหมัลแวร การบุกรุกโจมตีของผูประสงคราย
และการตรวจพิสูจนพยานหลักฐานดิจิทัล โดยนำเสนอเนื้อหาเชิงลึกวิเคราะห
สาเหตุของปญหา ความเสี่ยง และผลกระทบที่เกิดขึ้น พรอมทั้งเสนอขอ
ควรระวัง วิธีการตรวจสอบแกไข และสรุปใหผูอานสามารถเขาใจและนำ
ไปปรับใชได เชน บทความ “WireLurker และ Masque Attack: ผูใช iOS
ติดมัลแวรไดแมไม Jailbreak” “NTP Reflection DDoS attack”
“ขอควรระวังในการใชเครื่องมือตรวจพิสูจนพยานหลักฐานดิจิทัลในการคนหา
คำหรือขอความภาษาไทย” เปนตน
การนำเสนอขาวในรูปแบบของบทความขนาดสั้นเพื่อใหมีความรวดเร็ว
ทันการณในการเผยแพร โดยมีที่มาจากรอบโลกเพื่อแจงเตือน สรางความ
เขาใจ และความตระหนักถึงภัยคุกคามไซเบอรที่มีผลกระทบตอคนในประเทศ
เชน เรื่อง “พบชองโหว Misfortune Cookie ใน Router กวา 12 ลานเครื่อง”
“3 ขอควรจำ ปองกันกอนถูกแฮ็ก” “เปนเรื่อง! ภาพถายและคลิปของ
Snapchat หลุดมากกวา 90,000ไฟล” เปนตน
แสดงขอมูลสรุปรายการชองโหวที่ไทยเซิรตติดตามกวา 100 ผลิตภัณฑซอฟตแวร2
เชน เบราวเซอร ระบบบริหารจัดการเว็บไซตสำเร็จรูป แอนติไวรัส เปนตน
โดยจะเผยแพรขอมูลทุก ๆ วันจันทรของสัปดาห และนำเสนอแยกตามระดับ
ความรุนแรง คื อ
- High - ประเภทความรุนแรงระดับสูง ประเมินจากคา CVSS3 7.0 - 10.0
- Medium- ประเภทความรุนแรงระดับปานกลาง ประเมินจากคาCVSS4.0-6.9
- Low - ประเภทความรุนแรงระดับต่ำ ประเมินจากคา CVSS 0.0 - 3.9
ประเภทขอมูลเผยแพร คำอธิบาย

22. 22
ไดใหบริการตรวจพิสูจนพยานหลักฐานดิจิทัลรวมทั้งสิ้น 21 เคส มีหนวยงานที่ขอรับบริการ เชน สำนัก
นายกรัฐมนตรี กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.)
กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจ (ปอศ.) สถาบัน
นิติวิทยาศาสตร และธนาคาร
2.2.3 บริการบริหารคุณภาพทางดานความมั่นคงปลอดภัย (Security Quality Management
Services)
การบริการที่สนับสนุนการบริหารการรักษาความมั่นคงปลอดภัยไซเบอรขององคกรและพัฒนาความรู
และความสามารถของบุคลากรในดานกระบวนการรักษาความมั่นคงปลอดภัยระบบสารสนเทศขององคกร
โดยรวม ซึ่งบริการในดานนี้ ประกอบดวย บริการวิชาการดานความมั่นคงปลอดภัย (Education and
Training) และ การสรางความตระหนักเรื่องความมั่นคงปลอดภัย (Awareness Building)
2.2.3.1 บริการวิชาการดานความมั่นคงปลอดภัย (Education and Training)
ไทยเซิรตไดจัดกิจกรรมการบรรยาย สัมมนา และอบรมใหความรูแกบุคลากรของหนวยงาน
ทั้งภายในประเทศและตางประเทศ ซึ่งมีการเชิญวิทยากรและผูทรงคุณวุฒิจากทั้งในและตางประเทศมา
บรรยายและแลกเปลี่ยนความรู และไดเชิญหนวยงาน CERT จากตางประเทศมาเขารวมเพื่อแลกเปลี่ยน
ประสบการณอีกดวย นอกจากนั้นยังเปนแกนนำในการพัฒนามาตรฐานการรับรองบุคลากรดานความมั่นคง
ปลอดภัยระบบสารสนเทศของประเทศไทย (Thailand Information System Security Professional
Certification Program) รวมทั้งเตรียมความพรอมใหแกบุคลากรทั้งในและนอกองคกรที่มีความสนใจ
ดานการรักษาความมั่นคงปลอดภัยสารสนเทศเขาสอบในหลักสูตร Certified Information Systems
Security Professional (CISSP) ของสถาบัน (ISC)2 ซึ่งเปนประกาศนียบัตรสำหรับผูเชี่ยวชาญดานการ
รักษาความมั่นคงปลอดภัยที่ไดรับการยอมรับในระดับสากล
ผลงานในป 2557 ไดแก การจัดอบรมเพื่อเตรียมสอบใบรับรอง CISSP ใหกับผูแทนหนวยงาน
9 แหง จำนวน 20 คน จัดอบรมและสอบใบรับรอง GCIH ใหกับผูแทนหนวยงานภาครัฐจำนวน 10 คน
การจัดอบรมหลักสูตรมาตรฐานหองปฏิบัติการ ISO/IEC 17025 : 2005 และ ASCLD ใหกับเจาหนาที่
ของรัฐที่เปนผูตรวจพิสูจนพยานหลักฐานดิจิทัลจำนวน 15 คน และการจัดอบรมหลักสูตรตรวจพิสูจน
พยานหลักฐานดิจิทัลที่เปนหลักสูตรเฉพาะทางอีกหลายหลักสูตรตลอดป รวมผูที่ไดรับการอบรมหลักสูตร
ตาง ๆ กวา 110 คน
2.2.3.2 การสรางความตระหนักเรื่องความมั่นคงปลอดภัย (Awareness Building)
ไทยเซิรตเห็นวาการสรางความตระหนักใหแกบุคลากรตลอดจนผูบริหารในเรื่องการรักษา
ความมั่นคงปลอดภัยนั้นมีความสำคัญตอการยกระดับความเขมแข็งของการรักษาความมั่นคงปลอดภัย
ในองคกร ไทยเซิรตจึงไดเปนเจาภาพจัดอบรมแลกเปลี่ยนขอมูลเพื่อใหความรู และสรางความตระหนัก
เรื่องความมั่นคงปลอดภัย ซึ่งมีการเชิญวิทยากรและผูทรงคุณวุฒิจากทั้งในและตางประเทศมาบรรยาย
และแลกเปลี่ยนความรู และไดเชิญหนวยงาน CERT จากตางประเทศมาเขารวมเพื่อแลกเปลี่ยนประสบการณ
อีกดวย ตัวอยางหลักสูตรการอบรมและสัมมนา เชน SANS Secure Thailand 2014, ETDA/ThaiCERT
Security Seminar “The War against Advanced Cyber Threats” และ การประชุมของผูเชี่ยวชาญ
ในระดับภูมิภาคเอเชีย 14th RAISE Forum นอกเหนือจากงานนี้ ไทยเซิรตยังสื่อสารเพื่อใหขอมูลขาวสาร
ตาง ๆ ที่เกี่ยวของกับเรื่องความมั่นคงปลอดภัยผานทางชองทางตาง ๆ เชน โซเชียลมีเดียและเว็บไซต
ของไทยเซิรต (www.thaicert.or.th) เพื่อสรางความตระหนักและใหความรูแกประชาชนทั่วไปที่สนใจ
รวมถึงไดจัดกิจกรรมซักซอมรับมือภัยคุกคามใหแกหนวยงานภาครัฐที่สำคัญและสถาบันการเงิน
A n n u a l R e p o r t 2 0 1 4
4 รายละเอียดประกาศนียบัตรรับรอง สามารถดูที่ภาคผนวก ง หนาที่ 51

23. 23

24. 24
บทที่ 3
สถิติภัยคุกคาม
ป 2557
A n n u a l R e p o r t 2 0 1 4
ไทยเซิรตรวบรวมขอมูลที่ไดรับจากเครือขายใน/ตางประเทศและผานชองทางรับแจงของไทยเซิรต
นำมากรองและวิเคราะหขอมูลที่มีความสัมพันธกับหนวยงานในประเทศไทย เพื่อจัดทำเปนสถิติภาพรวม
ภัยคุกคามไซเบอรป 2557 ดังนี้
3.1 สถิติภัยคุกคามที่ไทยเซิรตไดรับแจงผานระบบอัตโนมัติ
ขอมูลภัยคุกคามไซเบอรที่ไทยเซิรตรวบรวมผานระบบรับแจงอัตโนมัติจากแหลงตาง ๆ ทั้งในและ
ตางประเทศ สามารถแยกออกเปน 10 ประเภท ไดแก Botnet, Brute Force, DDoS, Malware URL,
Open DNS Resolver, Open Proxy Server, Phishing, Scanning, Spam, และ Web Defacement
ซึ่งมีจำนวนหมายเลขไอพีที่ไมซ้ำเปรียบเทียบป 2556 และ 2557 ในตารางที่ 2
• ป 2557 ภัยคุกคามที่ไดรับแจงสูงที่สุดไดแก Botnet (2,729,399) และ Open DNS Resolver
(2,253,917) ในขณะที่ภัยคุกคามที่ไดรับแจงต่ำที่สุดไดแก DDoS และ Spam
• เมื่อเปรียบเทียบจำนวนหมายเลขไอพีที่ไมซ้ำที่ไดรับแจงในป 2556 และป 2557 พบวาภัยคุกคาม
ประเภท Botnet ที่ไดรับแจงมากที่สุดมีสัดสวนใกลเคียงกันทั้งสองป ทั้งนี้ไทยเซิรตไมไดรับแจงภัยคุกคาม
ประเภท Spam ในป 2557 เนื่องจากไทยเซิรตไมไดรับแจงในป 2557 เนื่องจากหนวยงานในเครือขาย
หยุดรายงานขอมูลประเภทดังกลาว
5 ดูประเภทภัยคุกคามที่ไดรับแจงผานระบบอัตโนมัติจากตารางที่ 11 ในภาคผนวกที่ ก หนา 46

25. 25
3.1.1 สถิติภัยคุกคามประเภท Botnet
ตารางที่ 2 จำนวนหมายเลขไอพีที่ไมซ้ำที่ไดรับรายงานในแตละประเภทภัยคุกคามในป 2556 และ 2557 กราฟที่ 1 อันดับแรกของมัลแวรประเภท Botnet ที่ไดรับแจง
Botnet
Open DNS Resolver
Scanning
Open Proxy Server
Web Defacement
Malware URL
Phishing
Bruteforce
DDoS
Spam
2,729,399
2,253,917
9,306
3,449
1409
803
668
169
4
0
2,829,348
1,695,783
14,340
9,363
1,096
325
261
302
8
848,976
นำตัวเลขไปใสError!
Reference source not found.
2556 2557
กราฟที่ 1 แสดงสัดสวน 10 อันดับแรกของมัลแวรประเภท Botnet ที่ไทยเซิรตไดรับแจงผานระบบ
อัตโนมัติ โดยพบวา Conficker ไดรับแจงมากที่สุดเปนจำนวน 36.4% รองลงมาคือ ZeroAccess (24.6%)
และ Sality (9.7%) โดยในกรณีของ Conficker ที่ยังคงอยูในอับดับแรกของรายงานทั้งที่เปนมัลแวรที่ถูก
คนพบมาเปนเวลานานเกือบ 10 ป และทาง Microsoft ไดออกประกาศแจงเตือน รวมถึงออกแพทซ
วิธีแกไขชองโหวที่มัลแวรใชโจมตีแลวนั้น จึงเปนความเสี่ยงที่ประเทศไทยยังมีคอมพิวเตอรที่ยังไมไดรับ
การแกไขชองโหวและติดมัลแวร Conficker ซึ่งเปนมัลแวรประเภท Botnet อีกเปนจำนวนมาก
Conficker: 36.4%
Zero Access: 24.6%
Sality: 9.7%
Zeus: 6.2%
Gameover: 5.8%
Citadel: 4.8%
Virut: 2.6%
Glupteba: 2.0%
Pushdo: 1.0%
Pushdo: 0.9%
(Other): 5.9%

26. 26
ทั้งนี้จากการเปรียบเทียบอันดับของมัลแวรที่ไดรับแจงระหวางป2556 และ2557 ตามตารางที่3 จะพบวา
มัลแวรกวา 7 สายพันธุที่เคยติดอันดับในป 2556 ยังคงอยูใน 10 อันดับแรกของป 2557 และมีการสลับอันดับ
กันเพียงเล็กนอย โดยมีมัลแวร Virut, Glupteba และ Wapomi ที่ไดรับแจงในสัดสวนที่สูงขึ้นจากป 2556
จนกระทั่งติดใน 10 อันดับแรกของป 2557
เมื่อพิจารณา 5 อันดับแรกของมัลแวรประเภท Botnet ที่ไทยเซิรตไดรับแจง จะพบวามีมัลแวรที่มี
ความสามารถในการขโมยขอมูลทั้งหมดถึง 3 สายพันธุใน 5 อันดับแรกนี้ นั่นคือ Sality, Zeus และ
Gameover (พัฒนาตอยอดมาจาก Zeus) ซึ่งแสดงใหเห็นถึงแนวโนมในการโจมตีของผูประสงครายที่มุงเนน
ขโมยขอมูลของผูใช
A n n u a l R e p o r t 2 0 1 4
จาก 10 อันดับแรกของมัลแวรที่ไดรับแจงดังที่ปรากฏในกราฟที่ 2 สามารถจำแนกตามความสามารถ
ของมัลแวรไดดังนี้
5เปนการโจมตีโดยผูประสงครายพยายามวางตำแหนงปุมหรือลิงกอันตรายที่มองไมเห็น ใหตรงกับตำแหนงปุมหรือลิงกในหนาเว็บไซต
เพื่อหลอกใหผูใชคลิก สงผลใหเหยื่อถูกพาไปยังเว็บไซตอันตรายหรือติดมัลแวรได
ตารางที่ 4 เปรียบเทียบอันดับของมัลแวรประเภท Botnet ที่ไดรับแจง ระหวางป 2556-2557
Conficker
ZeroAccess
Sality
Zeus
Gameover
Citadel
Virut
Glupteba
Pushdo
Wapomi
1
3
4
2
8
6
11
25
5
14
มัลแวร 2556
1
2
3
4
5
6
7
8
9
10
2557
2551
2550
2554
2546
2550
2554
2550
2554
2553
2546
Conficker
Zeus
ZeroAccess
Sality
Pushdo
Citadel
Slentbot
Gameover
Kelihos
Dorkbot
มัลแวร ปที่คนพบ
Dos สง Spam ขโมขขอมูล ติดตั้ง
มัลแวลอื่น
อื่น ๆ
ความสามารถ
ตารางที่ 3 ความสามารถของมัลแวรสายพันธตาง ๆ

27. จากรายงานของ Netcraft พบวาเปนปญหาที่มีผลกระทบตอ 500,000 เว็บไซตทั่วโลก (http://
news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-
heartbleed-bug.html) ไทยเซิรตไดตรวจสอบเว็บไซตที่สำคัญในประเทศไทย เชน เว็บไซตธนาคารออนไลน
เว็บไซตยื่นแบบภาษีเงินไดบุคคลธรรมดา เปนตน แตไมพบวาไดรับผลกระทบจากชองโหว Heartbleed
และจากการตรวจสอบในเดือนเมษายน 2557 พบวาจากจำนวนเครื่องที่ใชงาน HTTPS ในประเทศไทย
ประมาณ 130,000 เครื่อง พบเครื่องที่มีชองโหวนี้นอยกวา 2.7%
ไทยเซิรตไดเผยแพรประกาศแจงเตือนผานเว็บไซตไทยเซิรตและรวมกับสมาคมผูใหบริการอินเทอรเน็ตไทย
(Thai Internet Service Provider Association: TISPA) จัดแถลงขาวเรื่อง “การกำหนดมาตรการรวมรับมือ
Heartbleed ชองโหวของซอฟตแวร OpenSSL” เพื่อแจงเตือนใหหนวยงานและผูเกี่ยวของไดตระหนัก
ถึงปญหาดังกลาวและรับทราบแนวทางวิธีการปองกันและแกไข รวมถึงจัดเตรียมขอมูลหมายเลขไอพี
ของเว็บไซตที่มีชองโหวดังกลาวใหแกผูใหบริการเครือขายอินเทอรเน็ตผานระบบแลกเปลี่ยนขอมูลที่ไทยเซิรต
จัดเตรียมเอาไวให
แมวาในปจจุบันบางเว็บไซตดำเนินการแกไขปญหาชองโหวดังกลาวแลว แตจากการตรวจสอบลาสุด
ชวงเดือนธันวาคม 2557 ยังคงพบเครื่องเซิรฟเวอรที่ใชงาน HTTPS ที่มีชองโหว Heartbleed อยูถึง 2.6%
แสดงใหเห็นวายังมีผูดูแลระบบสวนหนึ่งมิไดดำเนินการแกไขชองโหวนี้
3.2.3 Internet Banking Fraud
ในป 2557 ปรากฏขาวผูใชบริการธนาคารออนไลนถูกขโมยเงินในบัญชีหลายครั้ง ศูนยดิจิทัลฟอเรนสิกส
สพธอ. ก็ไดมีโอกาสวิเคราะหพยานหลักฐานคอมพิวเตอรของผูเสียหาย และจัดทำรายงานการตรวจ
วิเคราะหสงใหเจาหนาที่ตำรวจสืบทราบผูตองสงสัยไดสำเร็จ โดยเมื่อชวงตนปศูนยดิจิทัลฟอเรนสิกส
ไดรับการรองขอใหตรวจวิเคราะหเครื่องคอมพิวเตอรของผูเสียหายรายหนึ่งที่ถูกขโมยเงินผานบริการ
ธนาคารออนไลน ขอมูลเบื้องตนที่ไดรับมาคือผูเสียหายเปนนักธุรกิจที่ใชงานคอมพิวเตอรที่สำนักงาน
ประกอบธุรกิจ มีการทำธุรกรรมทางการเงินและมีการใชงานสวนตัว เคยใชโปรแกรมแชตบางเปนครั้งคราว
ในสวนของการใชงานธนาคารออนไลนจะเปนผูเดียวที่รูรหัสผานและไมเคยแชรรหัสผานกับผูใด
27
3.1.2 สถิติภัยคุกคามประเภท Web Attack
กราฟที่ 2 แสดงการเปรียบเทียบภัยคุกคามในลักษณะที่เปนการบุกรุกเว็บไซตดวยรูปแบบตาง ๆ คือ
Malware URL,Phishing, และWebDefacement ซึ่งเก็บขอมูลเปรียบเทียบจำแนกเปน จำนวนURL ที่ไมซ้ำ
จำนวนSubdomain ที่ไมซ้ำ และ จำนวนหมายเลขไอพีที่ไมซ้ำ
โดยเมื่อพิจารณาจากขอมูลจำนวน URL ที่ไมซ้ำจะพบวาภัยคุกคามประเภท Malware URL มีจำนวน
รายงานสูงที่สุดถึง 12,471 รายการ มากกวาการบุกรุกประเภท Phishing และ Web Defacement ถึง
3 เทา แตในทางกลับกัน การบุกรุกเว็บไซตในลักษณะ Malware URL มีรายงานจำนวนหมายเลขไอพี
ที่ไมซ้ำ 803 รายการ ซึ่งแสดงใหเห็นถึงความหนาแนนของปริมาณการนำเว็บไซตไปใชในการโจมตี
ผูอื่นวาการโจมตีประเภท Malware URL นั้น อาศัยปริมาณที่มากเพื่อใชในการแพรกระจายมัลแวร โดย
มีสัดสวนอยูที่ 15.5 รายการตอหนึ่งหมายเลขไอพี
ในขณะที่การเปรียบเทียบจำนวนSubdomain ที่ไมซ้ำ พบการบุกรุกเว็บไซตในลักษณะWebDefacement
จำนวนมากที่สุดถึง 4,182 รายการ ซึ่งมากกวาการบุกรุกประเภท Malware URL และ Phishing กวา
3-4 เทา โดยการบุกรุกเว็บไซตในลักษณะ Web Defacement นั้น มีสัดสวนของจำนวน Subdomain
และ จำนวน URL ที่ไมซ้ำ ใกลเคียงกัน เนื่องจากการบุกรุกเว็บไซตในนี้นั้น ผูโจมตีนิยมที่จะโจมตีแกไข
เปลี่ยนแปลงหนาเว็บไซตที่มี Subdomain จำนวนมากเพื่อสรางชื่อเสียงและสรางสถิติแขงขันกันกับ
ทีมอื่น และเมื่อเปรียบเทียบตามจำนวนหมายเลขไอพีที่ไมซ้ำกัน จะพบวาการบุกรุกเว็บไซตในลักษณะ
Web Defacement เกิดขึ้นมากที่สุดเชนกันที่จำนวน 1,049 หมายเลข สวนการบุกรุกเว็บไซตในลักษณะ
Malware URL และ Phishing มีจำนวนใกลเคียงกันคือ 803 และ 668 หมายเลขตามลำดับ
จากการจัดอันดับประเภทโดเมนเนมที่พบการบุกรุกเว็บไซตในลักษณะ Malware URL ตามกราฟที่ 3
แสดงใหเห็นวาเว็บไซตของหนวยงานดานการศึกษา (.ac.th) ถูกรายงานมากที่สุดโดยมีจำนวน 225 รายการ
คิดเปนสัดสวน 28% รองลงมาคือหนวยงานประเภทบริษัทหรือนิติบุคคล (.co.th) และ หนวยงานภาครัฐ
(.go.th) ซึ่งมีจำนวน 180 (22.4%) รายการ และ 160 (19.9%) รายการ ตามลำดับ
50
0
100
150
200
250
.acth .co.th .go.th .com .in.th (Other)
225
160
118
50 70
180
กราฟที่ 3 สถิติภัยคุกคามประเภท Malware URL จำแนกตามประเภทของโดเมนเนม
จำนวน URL ที่ไมซ้ำ จำนวน Shbdomain จำนวน IP ที่ไมซ้ำ
2.5k
0
5k
7.5k
10k
12.5k
12,471
4,025
4,427
4,182
1,089
668
1,049
1,470
803
Malware URL Phishing Web Defacement
กราฟที่ 2 สถิติการบุกรุกเว็บไซตแบบตาง ๆ