บทเรียนจากเม็กซิโกเมื่อ Hacker x AI ขโมยข้อมูลประชาชน 130 ล้านคน — เราพร้อมหรือยัง?

ประเทศไทยเริ่มเผชิญเหตุการณ์ด้านความปลอดภัยไซเบอร์และการรั่วไหลของข้อมูลส่วนบุคคลเพิ่มขึ้นในช่วงไม่กี่ปีที่ผ่านมา โดยมีทั้งกรณีในหน่วยงานรัฐ บริการสาธารณะ และภาคเอกชน เช่น การรั่วไหลของข้อมูลผู้สูงอายุจากกรมกิจการผู้สูงอายุ ซึ่งมีข้อมูลมากถึงประมาณ 19.7 ล้านรายการถูกเผยแพร่บนดาร์กเว็บ (Bangkok Post, 2024; Proteus Cyber, 2024)

นอกจากนี้ ยังมีกรณีข้อมูลลูกค้าของไปรษณีย์ไทยจำนวนประมาณ 19 ล้านรายการถูกนำไปขายบนดาร์กเว็บ ซึ่งประกอบด้วยข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ และอีเมล (Thai PBS, 2025; Matichon, 2025)

ในภาคสาธารณสุข เคยเกิดเหตุ ransomware โจมตีระบบคอมพิวเตอร์ของโรงพยาบาลสระบุรี ซึ่งสะท้อนถึงความเสี่ยงที่การโจมตีไซเบอร์สามารถกระทบต่อบริการสาธารณะและความต่อเนื่องของระบบสุขภาพได้ (Bangkok Post, 2020)

นอกจากนี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ยังได้เริ่มบังคับใช้กฎหมาย PDPA อย่างจริงจัง โดยมีการปรับบริษัทที่ละเมิดข้อมูลส่วนบุคคล รวมถึงกรณีข้อมูลผู้ป่วยถูกนำไปใช้ผิดวัตถุประสงค์ ซึ่งสะท้อนถึงการเพิ่มความเข้มงวดในการกำกับดูแลข้อมูลส่วนบุคคลในประเทศไทย (Bangkok Post, 2025; AustCham Thailand, 2025)

เหตุการณ์เหล่านี้แสดงให้เห็นว่าประเทศไทยกำลังเผชิญความเสี่ยงด้านไซเบอร์และข้อมูลส่วนบุคคลในหลายภาคส่วน ซึ่งหากเกิดการโจมตีที่ใช้เทคโนโลยี AI เป็นตัวเร่ง (AI-accelerated cyber attacks) ก็อาจทำให้ความเสียหายเกิดขึ้นในวงกว้างคล้ายกับกรณีที่เกิดขึ้นในประเทศเม็กซิโกได้

เพื่อให้วิเคราะห์ได้ครบถ้วน รายงานฉบับนี้จัดความเสี่ยงของไทยเป็น 6 หมวดเชิงโครงสร้าง ซึ่งเป็น “pattern” เดียวกับที่ทำให้เคสเม็กซิโกมีผลกระทบสูง

2.1 Mega-PII Repositories: ฐานข้อมูลขนาดใหญ่ระดับประเทศ/ระดับอุตสาหกรรม

ไทยมีระบบและแพลตฟอร์มที่เก็บข้อมูลประชาชน/ลูกค้าเป็นจำนวนมาก ทั้งในภาครัฐ (เช่น บริการดิจิทัลด้านสาธารณสุข/สวัสดิการ/ทะเบียน) และในเอกชน (loyalty, e-commerce, logistics, telco) เมื่อเกิดการรั่วไหล ผลกระทบจะไม่ใช่แค่ “ข้อมูลหลุด” แต่เป็น ความเสี่ยงต่อการสวมรอยตัวตน การฉ้อโกง และการเจาะต่อเนื่อง ในหลายระบบพร้อมกัน

2.2 Multi-agency / Cross-ecosystem Connectivity: ระบบเชื่อมกันเป็นเครือข่าย

ความเสี่ยงเพิ่มขึ้นอย่างก้าวกระโดดเมื่อมี “ระบบกลาง” ที่เชื่อมหลายหน่วยงานหรือหลายบริการ เช่น identity/SSO, e-service gateways, file transfer, API integration, vendor platforms หรือการแชร์ข้อมูลกับคู่ค้า เมื่อจุดใดจุดหนึ่งถูกเจาะ/credential หลุด จะเกิด lateral movement หรือการขยายผลไปยังหน่วยงานอื่นได้รวดเร็ว ลักษณะนี้คือแก่นเดียวกับเหตุแบบ multi-agency ในเม็กซิโก

2.3 Insider & Over-Privileged Access: คนใน + สิทธิ์เข้าถึงกว้างเกิน

หนึ่งในรูปแบบที่อันตรายที่สุดคือ “ข้อมูลหลุดจากคนใน” หรือผู้มีสิทธิ์เข้าถึงภายใน โดยเฉพาะกรณีที่องค์กรมีการกำหนดสิทธิ์เข้าถึง (access control) แบบกว้างเกินจำเป็น ทำให้พนักงานจำนวนมากเข้าถึงข้อมูลได้ครบชุด การรั่วไหลลักษณะนี้ไม่ได้ต้องใช้เทคนิคแฮกระดับสูง แต่สร้างความเสียหายรุนแรงได้ทันที และเมื่อข้อมูลครบชุด (PII + ประวัติธุรกรรม) จะถูกนำไปใช้หลอกลวงได้อย่างมีประสิทธิภาพมาก

2.4 Social Engineering at Scale: ข้อมูลรั่ว → หลอกลวงได้จริง และ AI ทำให้ “สเกล” ได้

กรณีในไทยหลายเหตุแสดงให้เห็นว่าเมื่อข้อมูลหลุด ผู้โจมตีสามารถแอบอ้างเป็นพนักงาน/หน่วยงาน พร้อมยืนยันข้อมูลได้ “เหมือนจริง” ทำให้เหยื่อเชื่อและโอนเงินหรือให้ข้อมูลเพิ่ม ในยุค AI การทำสคริปต์โทรหลอก/ข้อความหลอกหลายภาษา การปรับแต่งตามบุคคล (personalization) และการทำซ้ำจำนวนมากจะทำได้ง่ายขึ้น นี่คือกลไกเดียวกับที่ทำให้เคสเม็กซิโกมีอานุภาพสูง

2.5 Critical Services & Public Trust Shock: โจมตีแล้วกระทบบริการสาธารณะ + ความเชื่อมั่น

หากเหตุเกิดกับหน่วยงานรัฐ/โรงพยาบาล/โครงสร้างพื้นฐาน ความเสียหายจะลามไปถึง “ความต่อเนื่องบริการ” และ “ความเชื่อมั่นสาธารณะ” ซึ่งเป็นต้นทุนที่ประเมินเป็นเงินได้ยากแต่กระทบยาวนาน เช่น ความเชื่อมั่นต่อบริการรัฐดิจิทัล ความเชื่อมั่นต่อระบบสุขภาพ หรือความมั่นใจต่อการทำธุรกรรมออนไลน์

2.6 PDPA/Compliance & Governance Gap: ช่องว่างด้านธรรมาภิบาลข้อมูล

หลายเหตุในไทยสะท้อนว่าความเสี่ยงไม่ได้เกิดจากเทคนิคเพียงอย่างเดียว แต่เกิดจาก ระบบกำกับดูแล ที่ยังไม่แข็งแรง เช่น การไม่แต่งตั้ง/ไม่เสริมอำนาจ DPO อย่างเหมาะสม การไม่มีมาตรการความปลอดภัยที่เพียงพอ การจำกัดสิทธิ์ไม่ดี และกระบวนการตอบสนองเหตุ (incident response) ที่ยังไม่พร้อม ช่องว่างเหล่านี้ทำให้เหตุเล็ก “กลายเป็นเหตุใหญ่” ได้

3.1 ภาครัฐและบริการรัฐดิจิทัล (Government & National Data)

ภาครัฐเป็นศูนย์รวม ข้อมูลตัวตนขนาดใหญ่ และข้อมูลอ่อนไหว จึงมีความเสี่ยงต่อ “เหตุระดับประเทศ” สูง โดยเฉพาะเมื่อระบบเชื่อมโยงข้ามหน่วยงานและมีการใช้บัญชีเจ้าหน้าที่เป็นทางผ่าน ตัวอย่างเหตุการณ์ที่เป็นสัญญาณความเสี่ยงในไทย ได้แก่ 

• (1) กรณีแฮกเกอร์ที่ใช้ชื่อ “9near” อ้างถือครองข้อมูลส่วนบุคคลของคนไทย 55 ล้านราย และมีรายงานการระบุตัวผู้ต้องสงสัย/การสืบสวนในประเด็นนี้ ซึ่งสะท้อนความเสี่ยงของฐานข้อมูลระดับชาติถูกนำไปใช้ต่อยอดการสวมรอยและการโจมตีต่อเนื่อง 

• (2) กรณีที่สภาองค์กรของผู้บริโภคเปิดเผยว่าพบข้อมูลผู้สูงอายุจาก กรมกิจการผู้สูงอายุ (DOP) รั่วไหลระดับ 19.7 ล้านราย ถูกขายบนดาร์กเว็บ ซึ่งสะท้อนความเสี่ยงของ mega-PII repository ภาครัฐและแรงกดดันด้านการแจ้งเตือน/เยียวยา/ความเชื่อมั่นสาธารณะ

3.2 บริการสาธารณะและโครงสร้างพื้นฐาน (Public Services & Critical Infrastructure)

หมวดนี้มีความเสี่ยงสูงเพราะผลกระทบไม่ได้จบที่ “ข้อมูลรั่ว” แต่ลามไปสู่ “ความต่อเนื่องบริการ” และ “ความเชื่อมั่นสาธารณะ” ตัวอย่างสำคัญคือกรณี ไปรษณีย์ไทย ที่มีรายงานการพบข้อมูลผู้ใช้บริการถูกนำไปขายบนเว็บมืดกว่า 19 ล้านรายการ และไปรษณีย์ไทยออกมาชี้แจงว่าเกิดการละเมิดข้อมูลผู้ใช้บริการ (ไม่มีข้อมูลธุรกรรมการเงิน) พร้อมดำเนินการปิดกั้น/แก้ไข เคสลักษณะนี้ “คล้ายเม็กซิโก” ในมิติการเป็นหน่วยบริการสาธารณะที่มีฐานข้อมูลจำนวนมากและเชื่อมพาร์ทเนอร์หลายราย (ขนส่ง/อีคอมเมิร์ซ/ชำระเงิน) ซึ่งหากถูกใช้ร่วมกับ AI-assisted phishing จะยิ่งเพิ่มโอกาสเกิดการหลอกลวงแบบเฉพาะบุคคลในวงกว้างได้

3.3 สาธารณสุขและโรงพยาบาล (Healthcare)

ภาคสุขภาพมีความเสี่ยง “สองชั้น” คือ (1) ข้อมูลอ่อนไหว และ (2) การหยุดชะงักบริการ ตัวอย่างเหตุการณ์ที่ชัดคือกรณี โรงพยาบาลสระบุรีถูกโจมตีด้วย ransomware ซึ่งผู้บริหารโรงพยาบาลยืนยันว่าระบบคอมพิวเตอร์ถูกโจมตี (และต้องจัดการผลกระทบต่อการดำเนินงาน) หมวดนี้สอดคล้องกับความเสี่ยงแบบเม็กซิโกในมิติ “บริการสาธารณะ” เพราะแม้ผู้โจมตีจะมุ่งข้อมูล แต่ผลลัพธ์สุดท้ายอาจกระทบความต่อเนื่องการรักษา ความปลอดภัยของผู้ป่วย และความเชื่อมั่นต่อระบบสุขภาพ

3.4 สถาบันการศึกษา (Higher Education)

สถาบันการศึกษาเป็น “ศูนย์รวมตัวตนดิจิทัล” (อีเมล/SSO/บัญชีผู้ใช้จำนวนมาก) และเชื่อมกับบริการภายนอกหลากหลาย จึงเสี่ยงทั้งการขโมยบัญชีและการรั่วไหลข้อมูล ตัวอย่างในไทย ได้แก่ 

(1) IT Chula ที่ประกาศเหตุแฮกเกอร์เจาะระบบและมีนิสิตได้รับผลกระทบ 80 accounts พร้อมมาตรการเร่งด่วน (เช่น block account และประสานงานช่วยเหลือ) 

(2) กรณีข้อมูลส่วนบุคคลของนักเรียน/นักศึกษาที่เข้าสอบคัดเลือกเข้ามหาวิทยาลัยปี 2021 รั่วไหลและถูกนำไปขายออนไลน์ โดยรายงานว่าเป็นข้อมูลมากกว่า 23,000 คน หมวดนี้มีความเสี่ยงคล้ายเม็กซิโกในเชิง “ขยายผล” เพราะเมื่อได้บัญชี/ข้อมูลจากสถาบันการศึกษา ผู้โจมตีสามารถใช้เป็นฐานทำ phishing ต่อเนื่องไปยังองค์กรอื่น (เช่น แหล่งทุน/ธนาคาร/ระบบสมัครงาน) ได้ง่าย โดยเฉพาะเมื่อ AI ช่วยสร้างข้อความหลอกลวงแบบเหมือนจริงและทำได้เป็นจำนวนมาก

3.5 ภาคเอกชน: Loyalty / Retail / Telco / E-commerce / Tech Retail & Digital Supply Chain (คงเดิม โดยมีตัวอย่างครบ)

• The 1 (Central Group) ออกมาขอโทษเหตุข้อมูลรั่วไหลกระทบสมาชิกโปรแกรมสะสมคะแนน

• TrueMove H เคยมีรายงานข้อมูลผู้ใช้ราว 46,000 ราย รั่วจากคลาวด์ (misconfiguration)

• ศูนย์หนังสือจุฬาฯ / Chulabook ถูกกล่าวถึงในสื่อไทยว่าเป็นหนึ่งในแหล่งข้อมูลที่อ้างว่ารั่วไหลและถูกขายบนดาร์กเว็บ (ตัวอย่างที่ถูกอ้างถึงระดับ ~160,000 บัญชี)

• JIB กรณีข้อมูลลูกค้ารั่วและถูกนำไปใช้แอบอ้าง/หลอกลวง (มีประเด็นเชิงโครงสร้างเรื่อง access control/insider) ตามรายงาน PDPC

หากให้ประเมินเชิงระบบ เหตุแบบเม็กซิโกจะเกิดในไทยได้เมื่อมีองค์ประกอบ 3 ชั้นซ้อนกัน:

1. Data scale: ฐานข้อมูลขนาดใหญ่และข้อมูลอ่อนไหว (PII/health/identity/transaction)

2. Connectivity: ระบบเชื่อมข้ามหน่วยงาน/ข้ามผู้ให้บริการ (SSO, API, vendor)

3. Acceleration: ผู้โจมตีใช้ AI/automation ลดต้นทุนและเร่งการโจมตีให้ครอบคลุมหลายเป้าหมาย

เมื่อทั้งสามเกิดร่วมกัน ความเสี่ยงจะเปลี่ยนจาก “เหตุความปลอดภัยข้อมูล” เป็น “ความเสี่ยงเชิงระบบ” (systemic risk) ที่กระทบเศรษฐกิจ ความเชื่อมั่น และความมั่นคง — ไทยมีองค์ประกอบครบสำหรับเหตุแบบ multi-agency หรือ multi-victim ในเวลาอันสั้น แม้เหตุแต่ละกรณีจะเกิดในคนละภาคส่วนก็ตาม

เหตุการณ์ข้อมูลรั่วไหลในหลายภาคส่วนของประเทศไทยสะท้อนถึงความจำเป็นในการยกระดับการกำกับดูแลข้อมูลและความมั่นคงไซเบอร์ในระดับองค์กร โดยเฉพาะในยุคที่เทคโนโลยี AI สามารถเพิ่มความเร็วและขนาดของการโจมตีไซเบอร์ได้อย่างมีนัยสำคัญ 

• Bangkok Post. (2020). Ransomware attack on Saraburi hospital disrupts computer systems. Bangkok Post.
• Bangkok Post. (2018). Data of TrueMove H users leaked online. Bangkok Post.
• Bangkok Post. (2024). Council reveals mass data leak of 19.7 million seniors. Bangkok Post.
• Bangkok Post. (2025). Hospital fined after patient files used as snack bags. Bangkok Post.
• Thai PBS. (2025). Thailand Post confirms data breach affecting millions of customer records. Thai PBS News.
• Proteus Cyber. (2024). Major data breach in Thailand exposes personal data of elderly citizens. Proteus Cyber.
• The Thaiger. (2025). Thai hospital fined after patient records leak incident. The Thaiger.
• TechTalkThai. (2018). Customer data leak incident related to iTrueMart registration system. TechTalkThai.

• Office of the Personal Data Protection Committee. (2024). Administrative enforcement under Thailand’s Personal Data Protection Act. PDPC.
• Athentic Consulting. (2025). PDPC announces fines for multiple data leakage cases.
• Lexology. (2025). Thailand data breach enforcement cases under the PDPA.
• PKF Thailand. (2024). Major private company fined 7 million baht for data breach by PDPC.
• Tilleke & Gibbins. (2025). Eight serious fines imposed in Thai data protection cases.

• National Cyber Security Agency (Thailand). (2024). Thailand national cybersecurity threat landscape report. NCSA.
• Thailand Computer Emergency Response Team. (2024). Annual cybersecurity threat report. ThaiCERT.
• Ministry of Digital Economy and Society. (2024). Cybersecurity policy and national digital resilience strategy. MDES.
• Electronic Transactions Development Agency. (2024). Thailand internet user behavior and digital risk report. ETDA.
• National Cyber Security Committee. (2023). National cybersecurity master plan of Thailand. NCSC Thailand.

• Sirawongphatsara, P., Pornpongtechavanich, P., Sriamorntrakul, P., & Daengsi, T. (2023). Analyzing bank account information of nominees and scammers. arXiv.
• Kshetri, N. (2022). Cybercrime and cybersecurity in the global digital economy. Springer.
• Bada, M., & Nurse, J. R. (2020). The social and psychological impact of cyber attacks. Computers & Security.

Global governance and cyber risk frameworks

• International Organization for Standardization. (2023). ISO/IEC 42001: Artificial intelligence management system. ISO.
• International Organization for Standardization. (2022). ISO/IEC 27001: Information security management systems. ISO.
• National Institute of Standards and Technology. (2023). AI risk management framework (AI RMF 1.0). NIST.
• World Economic Forum. (2024). Global cyber security outlook. World Economic Forum.\
• OECD. (2022). OECD framework for AI governance and risk management. OECD.
• European Union Agency for Cybersecurity. (2023). ENISA threat landscape report. ENISA.

• IBM Security. (2024). Cost of a data breach report 2024. IBM.
• CrowdStrike. (2024). Global threat report. CrowdStrike.
• Mandiant. (2024). M-Trends cybersecurity report. Google Cloud Mandiant.
• Cybersecurity Ventures. (2023). Global cybercrime damage costs report. Cybersecurity Ventures.