สรุปสั้น
หน่วยข่าวกรองของแคนาดาได้รับอนุญาตจากผู้พิพากษาให้เข้าถึงเซิร์ฟเวอร์ เราเตอร์ตามบ้าน และอุปกรณ์ IoT ที่ติดมัลแวร์ซึ่งตั้งอยู่บนแผ่นดินแคนาดา เพื่อกำจัดบอตเน็ตที่ดำเนินการโดยรัฐต่างชาติ 2 กลุ่ม ศาลกลางแคนาดา (Federal Court) เผยแพร่คำพิพากษาฉบับสาธารณะเมื่อวันที่ 15 มิถุนายน 2026 นับเป็นครั้งแรกที่ Canadian Security Intelligence Service (CSIS) ใช้อำนาจหมายลดภัยคุกคาม (threat reduction warrant) ในลักษณะนี้ โดยหมายอนุญาตให้ CSIS แก้ไข ลดทอน และทำลายข้อมูลบอตเน็ตในเครื่องที่ติดมัลแวร์ พร้อมตัดอุปกรณ์เหล่านั้นออกจากเครือข่าย
เป้าหมายคือเซิร์ฟเวอร์ที่ตั้งในแคนาดา เราเตอร์สำนักงานขนาดเล็กและที่บ้าน (SOHO) และอุปกรณ์ Internet of Things เช่น กริ่งประตู Ring กล้องวงจรปิด ทีวี และเครื่องใช้ที่เชื่อม Wi-Fi อื่น ๆ ผู้พิพากษา Catherine Kane อนุมัติหมายเมื่อวันที่ 1 พฤษภาคม 2024 ต่ออายุในเดือนสิงหาคมปีเดียวกัน และออกเหตุผลลับในเดือนกุมภาพันธ์ 2026 หมายนี้ถูกเก็บเป็นความลับนานกว่าสองปีจนกระทั่งมีการเปิดเผยฉบับที่ปกปิดข้อมูลบางส่วนในเดือนนี้ ศาลพบว่าภัยต่อแคนาดามีอยู่จริงและใกล้ตัว และมาตรการที่ใช้จำเป็น สมเหตุสมผล และได้สัดส่วน โดยเน้นว่าปฏิบัติการมุ่งที่อุปกรณ์ ไม่ใช่ตัวบุคคล
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 22 มิถุนายน พ.ศ. 2569 ว่าศาลกลางแคนาดาได้เผยแพร่คำพิพากษาเกี่ยวกับการที่ CSIS ใช้หมายลดภัยคุกคามเข้าล้างบอตเน็ตเป็นครั้งแรก CSIS จำเป็นต้องขอหมายเพราะการเข้าไปในอุปกรณ์ของผู้อื่นและลบข้อมูลถือเป็นความผิดฐานก่อกวนคอมพิวเตอร์ (computer mischief) ตามประมวลกฎหมายอาญา จึงต้องได้รับการอนุมัติจากผู้พิพากษาก่อนแตะต้องเครื่องเหล่านั้น
ศาลระบุว่าปฏิบัติการนี้มุ่งที่อุปกรณ์ ไม่ได้แสวงหาตัวตนผู้ใช้ ไม่ดักจับเนื้อหา และข้อมูลส่วนบุคคลใด ๆ ที่ถูกเก็บโดยบังเอิญจะถูกทำลายทิ้ง บอตเน็ตทั้งสองใช้รูปแบบรีเลย์มาตรฐาน คือมีชั้นคำสั่งที่ออกคำสั่ง และชั้นอุปกรณ์ที่ติดมัลแวร์ทำหน้าที่ส่งต่อทราฟฟิก การเดินทราฟฟิกผ่านฮาร์ดแวร์แคนาดาที่ถูกยึด ทำให้รัฐต่างชาติสามารถปลอมตัวเป็นการเชื่อมต่อธรรมดา เช่น พนักงานที่ทำงานจากบ้านหรือลูกค้า ISP ขณะที่สอดส่องโครงสร้างพื้นฐานสำคัญ เครือข่ายรัฐบาล และเครือข่ายทหาร ผลคือเจ้าของกริ่งประตูที่ติดมัลแวร์กลับดูเหมือนเป็นผู้รับผิดชอบทราฟฟิกที่ตนไม่เคยส่ง ศาลชี้ว่าภาคพลังงานเป็นหนึ่งในเป้าหมาย และเตือนว่าฝ่ายตรงข้ามอาจสั่งให้บอตเน็ตสอดส่องและอาจขัดขวางโครงสร้างพื้นฐานของแคนาดาได้
คำพิพากษาสาธารณะยืนยัน “สิ่งที่เกิดขึ้น” คือ มีฝ่ายตรงข้ามต่างชาติ 2 กลุ่มเป็นภัยต่อความมั่นคงของแคนาดา แต่สิ่งที่ถูกปกปิดคือ “ใคร” โดย The Bureau ซึ่งเป็นผู้นำคำพิพากษานี้ออกเผยแพร่ ระบุว่าไม่สามารถบอกได้จากเหตุผลที่ถูกปกปิดว่าบอตเน็ตทั้งสองเป็นของจีนทั้งคู่ รัสเซียทั้งคู่ หรืออย่างละกลุ่ม
เทคนิคเดียวกัน แต่คนละอำนาจ
จังหวะเวลาและเทคนิคของคดีนี้ตรงกับช่วงต้นปี 2024 ที่สหรัฐมีปฏิบัติการล้างบอตเน็ตตามคำสั่งศาลหลายครั้ง ในปฏิบัติการเดือนธันวาคม 2023 FBI ใช้ช่องคำสั่งของบอตเน็ตเองลบมัลแวร์ KV-botnet ออกจากเราเตอร์ SOHO ในสหรัฐหลายร้อยตัว ส่วนใหญ่เป็นกล่อง Cisco และ NetGear ที่หมดอายุซึ่งกลุ่ม Volt Typhoon ที่เชื่อมโยงกับจีนใช้ซ่อนการเข้าถึงที่ฝังไว้ล่วงหน้าในระบบสื่อสาร พลังงาน น้ำ และคมนาคมของสหรัฐ ไม่กี่สัปดาห์ต่อมา FBI ทำปฏิบัติการเกือบเหมือนกันกับเครือข่ายเราเตอร์ Ubiquiti ที่หน่วย GRU ของรัสเซีย (กลุ่ม APT28) เปลี่ยนเป็นรีเลย์จารกรรม
ความแตกต่างอยู่ที่ผู้ถือหมาย ปฏิบัติการของสหรัฐเป็นงานบังคับใช้กฎหมายโดย FBI และกระทรวงยุติธรรมภายใต้อำนาจค้นและยึด ส่วนของแคนาดาเป็นหน่วยข่าวกรองที่ใช้มาตรการลดภัยคุกคาม ซึ่งเป็นอำนาจของ CSIS ในการขัดขวางภัยเชิงรุกแทนที่จะแค่เก็บข่าวกรอง อำนาจนี้เขียนไว้ใน CSIS Act มานานหลายปีและถูกปรับใหม่ใน National Security Act ปี 2017 ที่มีผลบังคับใช้ปี 2019 แต่ CSIS ไม่เคยใช้ในลักษณะนี้มาก่อน
ผลกระทบต่อไทย
แม้คดีนี้จะเกิดในแคนาดา แต่บทเรียนสำคัญสำหรับไทยคือภัยจากการที่อุปกรณ์ IoT และเราเตอร์ SOHO ในประเทศถูกเปลี่ยนเป็นรีเลย์ให้ปฏิบัติการจารกรรมของรัฐต่างชาติ อุปกรณ์อย่างกล้องวงจรปิด กริ่งประตูอัจฉริยะ และเราเตอร์ราคาประหยัดที่แพร่หลายในบ้านและสำนักงานไทย มักไม่ได้รับการอัปเดตเฟิร์มแวร์และตั้งรหัสผ่านเริ่มต้น ทำให้ตกเป็นเป้าได้ง่าย หากถูกยึด องค์กรหรือบุคคลในไทยอาจกลายเป็นทางผ่านการโจมตีโครงสร้างพื้นฐานสำคัญโดยไม่รู้ตัว และอาจดูเหมือนเป็นผู้ก่อเหตุทั้งที่เป็นเหยื่อ นอกจากนี้ไทยยังไม่มีกรอบกฎหมายที่ให้หน่วยงานเข้าล้างบอตเน็ตในอุปกรณ์เอกชนได้เหมือนแคนาดาหรือสหรัฐ ภาระการป้องกันจึงตกอยู่ที่เจ้าของอุปกรณ์เป็นหลัก
คำแนะนำ
บทเรียนสำหรับผู้ดูแลระบบคือเรื่องพื้นฐานที่ต้องทำซ้ำ บอตเน็ตเติบโตจากอุปกรณ์ที่ไม่มีใครดูแล — เราเตอร์หมดอายุที่ยังต่ออยู่ในเครือข่าย ชุด IoT ที่ไม่เคยอัปเดตเฟิร์มแวร์ครั้งสุดท้าย และอะไรก็ตามที่ยังใช้รหัสผ่านเริ่มต้นพร้อมหน้าจัดการที่เปิดสู่อินเทอร์เน็ต การล้างของหน่วยงานรัฐไม่ได้แตะจุดอ่อนเหล่านี้ ในปฏิบัติการของสหรัฐ มัลแวร์ถูกลบออก แต่จุดอ่อนยังอยู่ และการรีบูตหรือ factory reset อาจย้อนการแก้ไขและเปิดประตูให้ติดมัลแวร์ซ้ำ ดังนั้นควรปลดระวางฮาร์ดแวร์ที่หมดอายุ ล็อกดาวน์อุปกรณ์ที่ยังใช้งาน ปิดการจัดการระยะไกล เปลี่ยนรหัสผ่านเริ่มต้นทุกตัว และอัปเดตเฟิร์มแวร์อย่างสม่ำเสมอ
