บทเรียนจากเม็กซิโกเมื่อ Hacker x AI ขโมยข้อมูลประชาชน 130 ล้านคน — เราพร้อมหรือยัง?

(1) ทำไม “เหตุแบบเม็กซิโก” มีโอกาสเกิดในไทย

Hacker x AI บทเรียนจาก Mexico เมื่อข้อมูลประชาชน 130 ล้านคนถูกขโมย

อ่านบทความนี้ได้ ที่นี่

กรณีเม็กซิโกสะท้อนว่า AI ไม่ได้ “แฮกแทนคน” แต่เป็น ตัวคูณกำลัง (force multiplier) ที่ทำให้การค้นหาช่องโหว่ การเขียนสคริปต์ การคัดเลือกเป้าหมาย และการหลอกลวงทำได้ เร็วขึ้น–ถูกลง–ทำซ้ำได้–และขยายวงได้

เมื่อจับคู่กับระบบที่มีข้อมูลจำนวนมาก (tax/voter/civil registry) จึงเกิดเหตุแบบ multi-agency ภายในระยะสั้น สำหรับประเทศไทย ภูมิทัศน์ข้อมูลและระบบบริการสำคัญมี “คุณลักษณะเสี่ยง” ใกล้เคียงกัน ได้แก่

(1) ฐานข้อมูลประชาชน/ลูกค้าขนาดใหญ่

(2) ระบบกลางและการเชื่อมโยงข้ามหน่วยงาน/ข้ามผู้ให้บริการ

(3) ความเสี่ยงจาก insider/อดีตพนักงานและสิทธิ์เข้าถึงกว้างเกิน

(4) การใช้ข้อมูลรั่วเพื่อ social engineering ที่ทำได้แม่นยำขึ้นในยุค AI

ภาพรวมไทยแสดงให้เห็นว่า “เหตุแบบเม็กซิโก” ไม่ใช่เรื่องไกลตัว เพราะไทยมีทั้งฐานข้อมูลขนาดใหญ่ ระบบเชื่อมต่อจำนวนมาก และประสบการณ์จริงของเหตุข้อมูลรั่ว/การโจมตี/insider ที่เกิดแล้วในหลายภาคส่วน สิ่งที่เปลี่ยนในยุค AI คือ “ความเร็วและสเกล” ของการโจมตีที่เพิ่มขึ้นอย่างมาก ดังนั้น ความปลอดภัยจึงต้องยกระดับจากการป้องกันเชิงเทคนิคไปสู่ “ธรรมาภิบาล” ที่กำกับดูแลข้อมูล ตัวตน และการใช้ AI อย่างเป็นระบบ

ประเทศไทยเริ่มเผชิญเหตุการณ์ด้านความปลอดภัยไซเบอร์และการรั่วไหลของข้อมูลส่วนบุคคลเพิ่มขึ้นในช่วงไม่กี่ปีที่ผ่านมา โดยมีทั้งกรณีในหน่วยงานรัฐ บริการสาธารณะ และภาคเอกชน เช่น การรั่วไหลของข้อมูลผู้สูงอายุจากกรมกิจการผู้สูงอายุ ซึ่งมีข้อมูลมากถึงประมาณ 19.7 ล้านรายการถูกเผยแพร่บนดาร์กเว็บ (Bangkok Post, 2024; Proteus Cyber, 2024)

นอกจากนี้ ยังมีกรณีข้อมูลลูกค้าของไปรษณีย์ไทยจำนวนประมาณ 19 ล้านรายการถูกนำไปขายบนดาร์กเว็บ ซึ่งประกอบด้วยข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ และอีเมล (Thai PBS, 2025; Matichon, 2025)

ในภาคสาธารณสุข เคยเกิดเหตุ ransomware โจมตีระบบคอมพิวเตอร์ของโรงพยาบาลสระบุรี ซึ่งสะท้อนถึงความเสี่ยงที่การโจมตีไซเบอร์สามารถกระทบต่อบริการสาธารณะและความต่อเนื่องของระบบสุขภาพได้ (Bangkok Post, 2020)

นอกจากนี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ยังได้เริ่มบังคับใช้กฎหมาย PDPA อย่างจริงจัง โดยมีการปรับบริษัทที่ละเมิดข้อมูลส่วนบุคคล รวมถึงกรณีข้อมูลผู้ป่วยถูกนำไปใช้ผิดวัตถุประสงค์ ซึ่งสะท้อนถึงการเพิ่มความเข้มงวดในการกำกับดูแลข้อมูลส่วนบุคคลในประเทศไทย (Bangkok Post, 2025; AustCham Thailand, 2025)

เหตุการณ์เหล่านี้แสดงให้เห็นว่าประเทศไทยกำลังเผชิญความเสี่ยงด้านไซเบอร์และข้อมูลส่วนบุคคลในหลายภาคส่วน ซึ่งหากเกิดการโจมตีที่ใช้เทคโนโลยี AI เป็นตัวเร่ง (AI-accelerated cyber attacks) ก็อาจทำให้ความเสียหายเกิดขึ้นในวงกว้างคล้ายกับกรณีที่เกิดขึ้นในประเทศเม็กซิโกได้

(2) ลักษณะความเสี่ยงหลักที่ “เหมือนเม็กซิโก” ในบริบทไทย

เพื่อให้วิเคราะห์ได้ครบถ้วน รายงานฉบับนี้จัดความเสี่ยงของไทยเป็น 6 หมวดเชิงโครงสร้าง ซึ่งเป็น “pattern” เดียวกับที่ทำให้เคสเม็กซิโกมีผลกระทบสูง

2.1 Mega-PII Repositories: ฐานข้อมูลขนาดใหญ่ระดับประเทศ/ระดับอุตสาหกรรม

ไทยมีระบบและแพลตฟอร์มที่เก็บข้อมูลประชาชน/ลูกค้าเป็นจำนวนมาก ทั้งในภาครัฐ (เช่น บริการดิจิทัลด้านสาธารณสุข/สวัสดิการ/ทะเบียน) และในเอกชน (loyalty, e-commerce, logistics, telco) เมื่อเกิดการรั่วไหล ผลกระทบจะไม่ใช่แค่ “ข้อมูลหลุด” แต่เป็น ความเสี่ยงต่อการสวมรอยตัวตน การฉ้อโกง และการเจาะต่อเนื่อง ในหลายระบบพร้อมกัน

2.2 Multi-agency / Cross-ecosystem Connectivity: ระบบเชื่อมกันเป็นเครือข่าย

ความเสี่ยงเพิ่มขึ้นอย่างก้าวกระโดดเมื่อมี “ระบบกลาง” ที่เชื่อมหลายหน่วยงานหรือหลายบริการ เช่น identity/SSO, e-service gateways, file transfer, API integration, vendor platforms หรือการแชร์ข้อมูลกับคู่ค้า เมื่อจุดใดจุดหนึ่งถูกเจาะ/credential หลุด จะเกิด lateral movement หรือการขยายผลไปยังหน่วยงานอื่นได้รวดเร็ว ลักษณะนี้คือแก่นเดียวกับเหตุแบบ multi-agency ในเม็กซิโก

2.3 Insider & Over-Privileged Access: คนใน + สิทธิ์เข้าถึงกว้างเกิน

หนึ่งในรูปแบบที่อันตรายที่สุดคือ “ข้อมูลหลุดจากคนใน” หรือผู้มีสิทธิ์เข้าถึงภายใน โดยเฉพาะกรณีที่องค์กรมีการกำหนดสิทธิ์เข้าถึง (access control) แบบกว้างเกินจำเป็น ทำให้พนักงานจำนวนมากเข้าถึงข้อมูลได้ครบชุด การรั่วไหลลักษณะนี้ไม่ได้ต้องใช้เทคนิคแฮกระดับสูง แต่สร้างความเสียหายรุนแรงได้ทันที และเมื่อข้อมูลครบชุด (PII + ประวัติธุรกรรม) จะถูกนำไปใช้หลอกลวงได้อย่างมีประสิทธิภาพมาก

2.4 Social Engineering at Scale: ข้อมูลรั่ว → หลอกลวงได้จริง และ AI ทำให้ “สเกล” ได้

กรณีในไทยหลายเหตุแสดงให้เห็นว่าเมื่อข้อมูลหลุด ผู้โจมตีสามารถแอบอ้างเป็นพนักงาน/หน่วยงาน พร้อมยืนยันข้อมูลได้ “เหมือนจริง” ทำให้เหยื่อเชื่อและโอนเงินหรือให้ข้อมูลเพิ่ม ในยุค AI การทำสคริปต์โทรหลอก/ข้อความหลอกหลายภาษา การปรับแต่งตามบุคคล (personalization) และการทำซ้ำจำนวนมากจะทำได้ง่ายขึ้น นี่คือกลไกเดียวกับที่ทำให้เคสเม็กซิโกมีอานุภาพสูง

2.5 Critical Services & Public Trust Shock: โจมตีแล้วกระทบบริการสาธารณะ + ความเชื่อมั่น

หากเหตุเกิดกับหน่วยงานรัฐ/โรงพยาบาล/โครงสร้างพื้นฐาน ความเสียหายจะลามไปถึง “ความต่อเนื่องบริการ” และ “ความเชื่อมั่นสาธารณะ” ซึ่งเป็นต้นทุนที่ประเมินเป็นเงินได้ยากแต่กระทบยาวนาน เช่น ความเชื่อมั่นต่อบริการรัฐดิจิทัล ความเชื่อมั่นต่อระบบสุขภาพ หรือความมั่นใจต่อการทำธุรกรรมออนไลน์

2.6 PDPA/Compliance & Governance Gap: ช่องว่างด้านธรรมาภิบาลข้อมูล

หลายเหตุในไทยสะท้อนว่าความเสี่ยงไม่ได้เกิดจากเทคนิคเพียงอย่างเดียว แต่เกิดจาก ระบบกำกับดูแล ที่ยังไม่แข็งแรง เช่น การไม่แต่งตั้ง/ไม่เสริมอำนาจ DPO อย่างเหมาะสม การไม่มีมาตรการความปลอดภัยที่เพียงพอ การจำกัดสิทธิ์ไม่ดี และกระบวนการตอบสนองเหตุ (incident response) ที่ยังไม่พร้อม ช่องว่างเหล่านี้ทำให้เหตุเล็ก “กลายเป็นเหตุใหญ่” ได้

(3) ภาพรวมตามภาคส่วน (Sector Risk Landscape) พร้อมตัวอย่างเหตุการณ์จริงในไทย

3.1 ภาครัฐและบริการรัฐดิจิทัล (Government & National Data)

ภาครัฐเป็นศูนย์รวม ข้อมูลตัวตนขนาดใหญ่ และข้อมูลอ่อนไหว จึงมีความเสี่ยงต่อ “เหตุระดับประเทศ” สูง โดยเฉพาะเมื่อระบบเชื่อมโยงข้ามหน่วยงานและมีการใช้บัญชีเจ้าหน้าที่เป็นทางผ่าน ตัวอย่างเหตุการณ์ที่เป็นสัญญาณความเสี่ยงในไทย ได้แก่

(1) กรณีแฮกเกอร์ที่ใช้ชื่อ “9near” อ้างถือครองข้อมูลส่วนบุคคลของคนไทย 55 ล้านราย และมีรายงานการระบุตัวผู้ต้องสงสัย/การสืบสวนในประเด็นนี้ ซึ่งสะท้อนความเสี่ยงของฐานข้อมูลระดับชาติถูกนำไปใช้ต่อยอดการสวมรอยและการโจมตีต่อเนื่อง
(2) กรณีที่สภาองค์กรของผู้บริโภคเปิดเผยว่าพบข้อมูลผู้สูงอายุจาก กรมกิจการผู้สูงอายุ (DOP) รั่วไหลระดับ 19.7 ล้านราย ถูกขายบนดาร์กเว็บ ซึ่งสะท้อนความเสี่ยงของ mega-PII repository ภาครัฐและแรงกดดันด้านการแจ้งเตือน/เยียวยา/ความเชื่อมั่นสาธารณะ

3.2 บริการสาธารณะและโครงสร้างพื้นฐาน (Public Services & Critical Infrastructure)

หมวดนี้มีความเสี่ยงสูงเพราะผลกระทบไม่ได้จบที่ “ข้อมูลรั่ว” แต่ลามไปสู่ “ความต่อเนื่องบริการ” และ “ความเชื่อมั่นสาธารณะ” ตัวอย่างสำคัญคือกรณี ไปรษณีย์ไทย ที่มีรายงานการพบข้อมูลผู้ใช้บริการถูกนำไปขายบนเว็บมืดกว่า 19 ล้านรายการ และไปรษณีย์ไทยออกมาชี้แจงว่าเกิดการละเมิดข้อมูลผู้ใช้บริการ (ไม่มีข้อมูลธุรกรรมการเงิน) พร้อมดำเนินการปิดกั้น/แก้ไข เคสลักษณะนี้ “คล้ายเม็กซิโก” ในมิติการเป็นหน่วยบริการสาธารณะที่มีฐานข้อมูลจำนวนมากและเชื่อมพาร์ทเนอร์หลายราย (ขนส่ง/อีคอมเมิร์ซ/ชำระเงิน) ซึ่งหากถูกใช้ร่วมกับ AI-assisted phishing จะยิ่งเพิ่มโอกาสเกิดการหลอกลวงแบบเฉพาะบุคคลในวงกว้างได้

3.3 สาธารณสุขและโรงพยาบาล (Healthcare)

ภาคสุขภาพมีความเสี่ยง “สองชั้น” คือ (1) ข้อมูลอ่อนไหว และ (2) การหยุดชะงักบริการ ตัวอย่างเหตุการณ์ที่ชัดคือกรณี โรงพยาบาลสระบุรีถูกโจมตีด้วย ransomware ซึ่งผู้บริหารโรงพยาบาลยืนยันว่าระบบคอมพิวเตอร์ถูกโจมตี (และต้องจัดการผลกระทบต่อการดำเนินงาน) หมวดนี้สอดคล้องกับความเสี่ยงแบบเม็กซิโกในมิติ “บริการสาธารณะ” เพราะแม้ผู้โจมตีจะมุ่งข้อมูล แต่ผลลัพธ์สุดท้ายอาจกระทบความต่อเนื่องการรักษา ความปลอดภัยของผู้ป่วย และความเชื่อมั่นต่อระบบสุขภาพ

3.4 สถาบันการศึกษา (Higher Education)

สถาบันการศึกษาเป็น “ศูนย์รวมตัวตนดิจิทัล” (อีเมล/SSO/บัญชีผู้ใช้จำนวนมาก) และเชื่อมกับบริการภายนอกหลากหลาย จึงเสี่ยงทั้งการขโมยบัญชีและการรั่วไหลข้อมูล ตัวอย่างในไทย ได้แก่

(1) IT Chula ที่ประกาศเหตุแฮกเกอร์เจาะระบบและมีนิสิตได้รับผลกระทบ 80 accounts พร้อมมาตรการเร่งด่วน (เช่น block account และประสานงานช่วยเหลือ)

(2) กรณีข้อมูลส่วนบุคคลของนักเรียน/นักศึกษาที่เข้าสอบคัดเลือกเข้ามหาวิทยาลัยปี 2021 รั่วไหลและถูกนำไปขายออนไลน์ โดยรายงานว่าเป็นข้อมูลมากกว่า 23,000 คน หมวดนี้มีความเสี่ยงคล้ายเม็กซิโกในเชิง “ขยายผล” เพราะเมื่อได้บัญชี/ข้อมูลจากสถาบันการศึกษา ผู้โจมตีสามารถใช้เป็นฐานทำ phishing ต่อเนื่องไปยังองค์กรอื่น (เช่น แหล่งทุน/ธนาคาร/ระบบสมัครงาน) ได้ง่าย โดยเฉพาะเมื่อ AI ช่วยสร้างข้อความหลอกลวงแบบเหมือนจริงและทำได้เป็นจำนวนมาก

3.5 ภาคเอกชน: Loyalty / Retail / Telco / E-commerce / Tech Retail & Digital Supply Chain (คงเดิม โดยมีตัวอย่างครบ)

The 1 (Central Group) ออกมาขอโทษเหตุข้อมูลรั่วไหลกระทบสมาชิกโปรแกรมสะสมคะแนน
TrueMove H เคยมีรายงานข้อมูลผู้ใช้ราว 46,000 ราย รั่วจากคลาวด์ (misconfiguration)
ศูนย์หนังสือจุฬาฯ / Chulabook ถูกกล่าวถึงในสื่อไทยว่าเป็นหนึ่งในแหล่งข้อมูลที่อ้างว่ารั่วไหลและถูกขายบนดาร์กเว็บ (ตัวอย่างที่ถูกอ้างถึงระดับ ~160,000 บัญชี)
JIB กรณีข้อมูลลูกค้ารั่วและถูกนำไปใช้แอบอ้าง/หลอกลวง (มีประเด็นเชิงโครงสร้างเรื่อง access control/insider) ตามรายงาน PDPC

ทำไม “ตัวอย่างจริง” เหล่านี้สะท้อนความเสี่ยงที่เกิดเกิด “เหตุแบบเม็กซิโก” ในไทย

หากให้ประเมินเชิงระบบ เหตุแบบเม็กซิโกจะเกิดในไทยได้เมื่อมีองค์ประกอบ 3 ชั้นซ้อนกัน:

Data scale: ฐานข้อมูลขนาดใหญ่และข้อมูลอ่อนไหว (PII/health/identity/transaction)
Connectivity: ระบบเชื่อมข้ามหน่วยงาน/ข้ามผู้ให้บริการ (SSO, API, vendor)
Acceleration: ผู้โจมตีใช้ AI/automation ลดต้นทุนและเร่งการโจมตีให้ครอบคลุมหลายเป้าหมาย

เมื่อทั้งสามเกิดร่วมกัน ความเสี่ยงจะเปลี่ยนจาก “เหตุความปลอดภัยข้อมูล” เป็น “ความเสี่ยงเชิงระบบ” (systemic risk) ที่กระทบเศรษฐกิจ ความเชื่อมั่น และความมั่นคง — ไทยมีองค์ประกอบครบสำหรับเหตุแบบ multi-agency หรือ multi-victim ในเวลาอันสั้น แม้เหตุแต่ละกรณีจะเกิดในคนละภาคส่วนก็ตาม

เหตุการณ์ข้อมูลรั่วไหลในหลายภาคส่วนของประเทศไทยสะท้อนถึงความจำเป็นในการยกระดับการกำกับดูแลข้อมูลและความมั่นคงไซเบอร์ในระดับองค์กร โดยเฉพาะในยุคที่เทคโนโลยี AI สามารถเพิ่มความเร็วและขนาดของการโจมตีไซเบอร์ได้อย่างมีนัยสำคัญ

จาก Mexico สู่ประเทศไทย: องค์กรของเราพร้อมหรือยังกับยกระดับ AI Governance

เหตุการณ์โจมตีที่ Mexico เป็นบทเรียนเตือนเราอย่างชัดเจนว่าความเสี่ยงจาก AI ไม่ได้อยู่ไกลเกินเอื้อม และไม่ใช่เรื่องของเทคโนโลยีเพียงอย่างเดียว
แต่เป็นเรื่องของ ธรรมาภิบาล AI (AI Governance) และ ความพร้อมของระบบจัดการความเสี่ยง ในระดับองค์กรและระดับชาติที่ต้องยกระดับอย่างเร่งด่วน
สำหรับบริบทของประเทศไทย เรากำลังจะได้เห็นรายงาน AI Governance and the Assessment of AI Governance of Organizations in Thailand "ธรรมาภิบาลการใช้ AI และแนวทาง การประเมินธรรมาภิบาล AI" ที่ออกแบบมาเพื่อองค์กรไทยโดยเฉพาะ ซึ่งจะเชื่อมโยงแนวปฏิบัติที่สอดคล้องกับ ISO/IEC 42001:2023 — มาตรฐานสากลด้านระบบการจัดการ AI (AI Management System) เพื่อการกำกับดูแล AI อย่างรับผิดชอบ
การประเมินและปรับระบบตามแนวนี้ไม่เพียงจะเสริมความมั่นคงของระบบสารสนเทศเท่านั้น แต่ยังสร้างความเชื่อมั่นแก่ผู้มีส่วนได้ส่วนเสียและสาธารณะอย่างเป็นระบบและยั่งยืน เปิดทางให้องค์กรไทยสามารถใช้ AI อย่างปลอดภัย มีธรรมาภิบาล และแข่งขันได้ในเวทีโลก
ลงทะเบียนเพื่อดาวน์โหลดรายงาน ฟรี ได้ที่ www.aigovernancecenter.org/report

List of References
Thailand cyber incidents and data breaches

Bangkok Post. (2020). Ransomware attack on Saraburi hospital disrupts computer systems. Bangkok Post.
Bangkok Post. (2018). Data of TrueMove H users leaked online. Bangkok Post.
Bangkok Post. (2024). Council reveals mass data leak of 19.7 million seniors. Bangkok Post.
Bangkok Post. (2025). Hospital fined after patient files used as snack bags. Bangkok Post.
Thai PBS. (2025). Thailand Post confirms data breach affecting millions of customer records. Thai PBS News.
Proteus Cyber. (2024). Major data breach in Thailand exposes personal data of elderly citizens. Proteus Cyber.
The Thaiger. (2025). Thai hospital fined after patient records leak incident. The Thaiger.
TechTalkThai. (2018). Customer data leak incident related to iTrueMart registration system. TechTalkThai.

PDPA enforcement and legal developments

Office of the Personal Data Protection Committee. (2024). Administrative enforcement under Thailand’s Personal Data Protection Act. PDPC.
Athentic Consulting. (2025). PDPC announces fines for multiple data leakage cases.
Lexology. (2025). Thailand data breach enforcement cases under the PDPA.
PKF Thailand. (2024). Major private company fined 7 million baht for data breach by PDPC.
Tilleke & Gibbins. (2025). Eight serious fines imposed in Thai data protection cases.

Thailand cybersecurity policy and risk reports

National Cyber Security Agency (Thailand). (2024). Thailand national cybersecurity threat landscape report. NCSA.
Thailand Computer Emergency Response Team. (2024). Annual cybersecurity threat report. ThaiCERT.
Ministry of Digital Economy and Society. (2024). Cybersecurity policy and national digital resilience strategy. MDES.
Electronic Transactions Development Agency. (2024). Thailand internet user behavior and digital risk report. ETDA.
National Cyber Security Committee. (2023). National cybersecurity master plan of Thailand. NCSC Thailand.

Academic and analytical research

Sirawongphatsara, P., Pornpongtechavanich, P., Sriamorntrakul, P., & Daengsi, T. (2023). Analyzing bank account information of nominees and scammers. arXiv.
Kshetri, N. (2022). Cybercrime and cybersecurity in the global digital economy. Springer.
Bada, M., & Nurse, J. R. (2020). The social and psychological impact of cyber attacks. Computers & Security.

Global governance and cyber risk frameworks

International Organization for Standardization. (2023). ISO/IEC 42001: Artificial intelligence management system. ISO.
International Organization for Standardization. (2022). ISO/IEC 27001: Information security management systems. ISO.
National Institute of Standards and Technology. (2023). AI risk management framework (AI RMF 1.0). NIST.
World Economic Forum. (2024). Global cyber security outlook. World Economic Forum.\
OECD. (2022). OECD framework for AI governance and risk management. OECD.
European Union Agency for Cybersecurity. (2023). ENISA threat landscape report. ENISA.

Industry and global cyber risk intelligence

IBM Security. (2024). Cost of a data breach report 2024. IBM.
CrowdStrike. (2024). Global threat report. CrowdStrike.
Mandiant. (2024). M-Trends cybersecurity report. Google Cloud Mandiant.
Cybersecurity Ventures. (2023). Global cybercrime damage costs report. Cybersecurity Ventures.

Page updated

Google Sites

Report abuse