2015年8月7日、US-CERT は「Required Group Policy Preference Actions for
Microsoft Security Bulletin MS14-025」を公開しました。MS14-025 の更新
プログラムでは、グループポリシーにパスワードを保存しないよう修正が行わ
れましたが、適用前にすでに保存されていたパスワードは削除されません。そ
のため、MS14-025 では、「追加の措置が必要」として、その詳細を説明して
います。すでに保存されていたパスワードを放置していると、システムへの不
正なアクセスを招くことになります。

US-CERT は、グループポリシーに保存されたままのパスワードを狙った攻撃が
今も続いているとして注意を呼びかけています。該当する製品をお使いの管理
者は、MS14-025 の対策が適切に行われているかどうか確認することをおすす
めします。

参考文書（日本語）

• マイクロソフト セキュリティ情報 MS14-025 - 重要
  グループ ポリシー基本設定の脆弱性により、特権が昇格される (2962486)
  https://technet.microsoft.com/ja-jp/library/security/ms14-025.aspx

• マイクロソフト サポート
  [MS14-025] グループ ポリシー基本設定の脆弱性により、特権が昇格される (2014 年 5 月 13 日)
  https://support.microsoft.com/ja-jp/kb/2962486

参考文書（英語）

• US-CERT Current Activity
  Required Group Policy Preference Actions for Microsoft Security Bulletin MS14-025
  https://www.us-cert.gov/ncas/current-activity/2015/08/07/Required-Group-Policy-Preference-Actions-Microsoft-Security

• Microsoft TechNet Blogs - Ash de Zylva’s Weblog
  (Don’t) Set or Save Passwords Using Group Policy Preferences
  http://blogs.technet.com/b/ash/archive/2014/11/10/don-t-set-or-save-passwords-using-group-policy-preferences.aspx

Weekly Report 2015-08-12号 に掲載