お知らせ

プロジェクター製品のEPSON WebConfig / Epson Web Controlにおける脆弱性について

発行日2025年11月20日
セイコーエプソン株式会社
エプソン販売株式会社

平素はエプソン製品をご愛用いただきまことにありがとうございます。
一部のエプソンプロジェクター製品において、Webブラウザー上で製品本体の状態を確認、もしくは設定を変更することが可能な機能(EPSON WebConfig / Epson Web Control(注1))を使用する際の脆弱性が確認されました。

(注1)EPSON WebConfig / Epson Web Controlは、製品本体のIPアドレスをMicrosoft Edge、SafariなどのWebブラウザーやEpson iProjection(iOS/Android)内Webブラウザー上のURL欄に入力することで製品本体の状態を確認、もしくは設定を変更することができます。

■確認された脆弱性

当該製品のパスワード認証(Web制御パスワード、Remote パスワード)には制限やロックアウトのメカニズムがないため、攻撃者は無制限にパスワードを試行でき、ブルートフォース攻撃に対して脆弱になります。ブルートフォース攻撃によりWeb制御パスワードまたはRemote パスワードを特定されると、第三者によりプロジェクターが制御される可能性があります。

  • 電源オン-オフ、入力ソース切り替えなどのメニュー操作
  • USBメモリーやSDカード内のコンテンツ編集(コンテンツ再生モード対応機種)
  • リモートカメラアクセスによる投写画像の撮影(リモートカメラアクセス対応機種)
  • USBメモリーに保存したログの参照(ログ保存対応機種)

■脆弱性に由来した影響

現在、本脆弱性を悪用した攻撃の報告はされておりません。

■対象製品

機種リスト一覧(PDFが開きます:381KB)

リスト以外の製品は脆弱性が存在しないか、出荷時に対策済みのため影響はございません。

■回避方法

お客様に製品を安心かつ安全にお使いいただくために、セキュリティガイドブック第3章に従った設置や設定をお願いいたします。

  • セキュリティガイドブックに従った設置や設定
  1. インターネットへの接続
    製品はインターネットに直接接続せず、ファイアウォールで保護されたネットワーク内に設置してください。
    その際には、プライベートIPアドレスを設定して運用してください。
  2. Web制御パスワードおよびRemote パスワード
    製品にはWeb制御パスワードおよびRemote パスワードを個別に設定してください。
    Web制御パスワードおよびRemote パスワードは英文字だけでなく、記号や数字を取り混ぜて8文字以上にする等、他者に推測されにくい複雑な文字列にしてください。
    Web制御パスワードおよびRemote パスワードの設定方法は各製品の取扱説明書をご確認ください。

セキュリティガイドブックについてはこちらからご確認下さい。

  • より強固な対処方法 - 製品へのHTTP(TCP/80ポートおよびTCP/433ポート)アクセスを遮断
  1. 設置環境のネットワーク機器で遮断
    製品の設定後に、ネットワーク機器(ルータまたはスイッチ)で製品へのHTTPアクセス(TCP/80およびTCP/433ポート)を遮断してください。
    製品の設定やファームウェアのアップデートが必要な時のみポートを開放してください。
    (注)遮断により、EPSON WebConfig / Epson Web Controlの機能がご利用いただけなくなる場合があります。
  • 対策ファームウェアの適用
  1. ファームウェアのアップデート
    以下のリストに記載の製品につきましては、対策ファームウェアを公開いたします。エプソンのホームページから対策ファームをダウンロードいただき、アップデートいただくことを強く推奨いたします。

対策ファームウェア提供機種リスト一覧(PDFが開きます:377KB)

■関連情報

JVNVU#95021911