セイコーエプソンとエプソン販売は2025年11月20日、一部プロジェクターのWeb管理機能「EPSON WebConfig/Epson Web Control」に脆弱性が見つかったと発表しました。パスワード認証に試行回数の制限やロックアウトがなく、攻撃者が総当たり(ブルートフォース)でパスワードを破られるおそれがあります。JVNは本件を CVE-2025-64310 として公開し、CVSS v3.1 基本値 9.8(重大)、CVSS v4.0 基本値 9.3 と評価しています。
現時点で悪用報告は確認されていませんが、エプソンは設置/設定の強化と対策ファームウェアの適用を強く推奨しています。
脆弱性の内容
当該Web管理機能(本体のIPアドレスをブラウザや「Epson iProjection」内ブラウザに入力して利用)は、Web制御パスワード/リモートパスワードに対する過度な認証試行を制限しません。第三者にパスワードを特定されると、以下の操作を遠隔で行われる可能性があります。
-
本体の電源オン/オフ、入力ソース切替などのメニュー操作
-
USBメモリやSDカード内コンテンツの編集(対応機種)
-
リモートカメラ経由で投写画像を撮影(対応機種)
-
USBメモリに保存されたログの参照(対応機種)
影響範囲(対象機種)
影響はビジネス/家庭用の広範なラインアップに及びます。
代表例として、EB-1410WT、EB-1485FT、EB-2040、EB-2140W、EB-2245U、EB-410W、EB-436WT、EB-485WT、EB-595WT、EB-696UT、EB-L30000U、EB-PU2220B、EB-S05、EB-W06、EB-X06、EB-Z10005U、EV-110、EMP-1715、EH-LS12000、EH-TW7100 などが含まれます。
完全な対象一覧はエプソン公表のPDFリストを参照ください。
(リストに含まれない機種は、そもそも脆弱性が存在しない、または出荷時に対策済みとされています。)
直ちに推奨される対策
設置・ネットワーク
-
製品をインターネットに直接接続しないでください。ファイアウォール配下のネットワークでプライベートIPを割り当てて運用します。
-
必要に応じ、ネットワーク機器(ルータ/スイッチ)で当該機器へのHTTPアクセス(TCP/80およびTCP/433)を遮断してください。設定変更やファーム更新時のみ一時的に開放します。
※遮断によりEPSON WebConfig/Epson Web Controlが利用できなくなる場合があります。
認証情報
-
Web制御パスワード/リモートパスワードを必ず個別に設定し、英大文字・小文字・数字・記号を交えた8文字以上の強固な値に変更します。既定値や使い回しは避け、定期的に更新します。
ファームウェア
-
エプソンが順次公開する対策ファームウェアを、対象機種ごとにダウンロードして適用してください(強く推奨)。
管理者が確認すべきポイント
-
外部からEPSON WebConfig/Epson Web Controlへ到達可能になっていないか(検索サイト等に露出していないか)を再点検する
-
認証失敗の急増や未知の管理アクセスなど、ログに異常がないかを点検する
-
リモートカメラやコンテンツ再生機能を持つ機種は、不審な撮影・ファイル改変・ログ取得の痕跡がないか確認する








