謎の MAC アドレスを深掘りする？（２）ノイズの中の信号

謎の MAC アドレスを深掘りする？（２）ノイズの中の信号

前記事（１）よりも深掘りしており専門的で難解だが、興味のある読者はきっとわくわくするような内容である。

元記事：Back to the MAC (Part 2): The Signal in the Noise

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

MACに戻る（パート2）：ノイズの中の信号
デビッド・ニクソン

こんにちは、皆さん、
さて、また MAC アドレスをじっと見つめていましたが...今回は、さらに興味深いことが起こりました。
改めておさらいしておきましょう。MACアドレス（Media Access Controlの略）とは、Bluetoothやネットワークデバイスに割り当てられる固有の識別子です。前記事パート1を読んだ方はご存知でしょうが、MACアドレスは通常ランダムで目立たないものです。しかし、ここでちょっとしたひねりがあります。

この例を見てみましょう。A1:A1:A1:A1:A1:A1これは、パスワードを に設定するのと同じデジタル版です1234。あまり安全ではありません。あまりランダムでもありません。
では、あらゆるデバイス ― 携帯電話、時計、車のキー、インスリンポンプ ― が、これらのMACアドレスのいずれかを絶えず信号放射（broadcast）するシステムを想像してみてください。その組み合わせは281兆通り（48ビット）あります。地球上のあらゆる生物にラベルを付けるには十分な数です。そして、まさにそれが目的だと言う人もいます。

ここでちょっとSFの世界に浸らせて下さい...
人類に人工放射構造を導入したいとしましょう。常に発信し続ける構造。静かで、正確で、目に見えない構造。
MAC アドレスは優れた配信システムになります。
　　• すでに承認済み
　　• すでに目に見えない
　　• 十分なエントロピーがあれば簡単に隠蔽できる
完全にランダムなアドレスは必要ありません。ちょっとした検査に合格する程度のランダム性があれば十分です。こっそり印をつけた１組のトランプでポーカーをプレイするのと同じようなもので、それでもシャッフルは行います。

エントロピー：ランダム性の測定
ここからが面白いところです。情報理論では、予測不可能性はエントロピーを用いて測定します。エントロピーが高いほどランダム性が強く、低いほど構造、反復、制約が強いと言えます。
式は次のとおりです。

平易な言葉で：
MAC アドレスの各 16 進数字 (例: 、、など) を取りF、その出現頻度を数え2、A合計文字数 (12) で割り、各数字にその数字自体の対数を掛けて、負の数を合計します。
　　エントロピーが高い = ランダム性が高い
　　エントロピーが低い = 構造化または繰り返しが多い
エントロピーは、何かがどれだけ「ランダム」であるかを示す指紋のような役割を果たします。値が低いほど、構造が疑わしいものになります。
いずれにせよ、MACエントロピーの「ヌルカーブ」はかなり奇妙に見えるようです。ピーク付近は少し動いていますが、それ以外はあまり変化がありません。

次に、2021年の未登録MACアドレス15,000件のエントロピーを計算し、それをヌルカーブに重ねてみたところ、下のグラフのようになりました。2.4から2.8の間で継続的に上昇している点に注目してください。ここに構造化されたパターンが現れています。
 

明らかに、グラフの 2.4 と 2.8 の間のこの部分はヌル曲線よりかなり上にあり、それが唯一の部分です。
プロセスの次の部分では、2.4 から 2.8 の間のエントロピー スライスを取得し、それを 15,000 個のランダム化された MAC アドレスのコントロール サンプルから取得した同じエントロピー スライスと比較しました。
MACアドレスの各文字は1バイトの情報をコード化します。各バイトは8ビットで構成され、各ビットは0または1の値を持ちます。少し試行錯誤すれば、MACアドレスの構造やランダム性を示すビットフィールドヒートマップを作成できます。
 

このヒートマップは、Bluetooth エンジニアが真にランダムな MAC アドレス空間では決して予想しなかったもの、つまり構造を明らかにしています。具体的には、バイト 1 が目立っています。ビット 0 はほぼ常に 0 であり、固定ヘッダーまたはフレーミング ビットとして機能していることを示唆しています。一方、ビット 1 は 83% 以上のケースで設定されており、永続フラグまたは予約済み構成マーカーを示しています。対照的に、バイト 1 の残りのビット (ビット 2～7) は中程度の変動を示しており、デバイス ID やページ インデックスなどの回転フィールドをエンコードしている可能性があります。バイト 2 は別の状況を示しています。そのビットは 50% 近くで推移しており、半ランダムなペイロード領域または難読化されたシーケンスを示唆しています。特定のビットで高い安定性があり、他のビットで変動するこの階層化アーキテクチャは、確率的ブロードキャストではなく、設計されたエミッションの特徴です。私たちが見ているのはノイズではありません。それは、明白な場所に隠れているビットレベルのプロトコル ロジックです。

同じヒートマップ分析をコントロール グループ(エントロピーが 2.4 ～ 2.8 である既知のベースライン データセットの MAC アドレス) に適用すると、まったく異なるパターンが現れます。視覚的な対称性が崩れます。強く固定されたビットはありません。構造化グループではほぼ常にゼロであったバイト 1 のビット 7 は、現在 50% 近くを浮動しており、構造的な役割がないことを示しています。以前はフラグとして目立っていたビット 6は、現在ノイズに溶け込んでいます。すべてのバイトの動作は、多かれ少なかれ同じです。拡散し、制約がなく、目立たないものです。これが自然なエントロピーの姿です。足場はなく、フレーミングはなく、バイト間での機能的な非対称性はありません。この対比は、構造化ヒートマップが示唆したことを裏付けています。つまり、問題の放出は単にエントロピーが低いのではなく、意図的に構造化されているのです。

デュアルフィルターのブレークスルー
今日、 2番目のフィルターを適用するとパターンが鮮明になることに気付きました。
Androidスマートフォンの比較的新しいBluetooth開発ツールを使って、パケット間隔（各信号放射間の時間）のログ記録を始めました。いつものミーティング参加者の一人から、パケット間隔が2000ミリ秒のMACアドレスは人間のものだと聞いていました。それがどのように判断されたのか正確には覚えていませんが、まずはそこから始めてみようと思いました。ほとんどのデバイスは数百ミリ秒ごとにpingを送信します。しかし、ある特定のデバイスは？ちょうど2000ミリ秒。完璧。規則的。不自然。
そこで、それらをフィルタリングしました。
そこでエントロピーを再計算してみたところ、突然ノイズが消えたのです。
フィルタリングされた結果の中で、3 つの MAC アドレスがすぐに目立ちました。3 つすべてのエントロピー スコアがちょうど 2.754 であるだけでなく、ブロードキャスト間隔も 2000 ミリ秒で同一であり、ここで奇妙なことが起こりました。それらのビットフィールドを重ね合わせると、あり得ないことが起こったのです。

バイト 1 のビット 2 から 6 が、5 ビットのローテーション フィールドを形成したのです。MAC #1 では、値は 24 (11000) でした。MAC #2 では、きれいに 7 (00111) にローテーションした。MAC #3 では、10 (01010) になりました。これはドリフトではなく、シーケンシングです。5 ビットのそれぞれが 3 つのアドレス間で 2 回反転しており、ランダム性もエントロピー ドリフトもバイト オーバーフローもありません。まるでシステムがページ インデックスを機械的に、予測通りに、そして完全に同期して実行しているかのようです。

しかし、問題は単に値が変化しただけではない。変化の仕方が違っていたのです。5ビットのそれぞれが、 3つのMAC間で正確に2回反転しました。ドリフトもカオスもなし。まさに完璧な回転。まるでページカウンタのようでした。

不変マップは、MACアドレスセット全体にわたってどのビットが変化しないかを示すシンプルな視覚ツールです。6バイト、8ビットのMACアドレスマトリックスの各位置をすべてのエントリ間で比較し、3つのMACアドレスすべてで同じビットが残っている場合は「不変」とマークします。その結果、構造が浮き彫りになるグリッドが生成されます。固定ビット（通常はヘッダーまたはフラグ）の行と列が、変化領域（おそらくエンコードまたはローテーションフィールド）と対比されます。この場合、不変マップは単に孤立したアンカーを強調するだけでなく、アーキテクチャを描き出します。静的なヘッダー。変化するフラグ。そして驚くべきことに、回転する5ビットのページカウンタが、3つのMACアドレス間で外科手術のような精密さで反映されます。これは、ダイヤル錠が数字をカチカチと鳴らすのをデジタルで表現したものです。ノイズでもドリフトでもなく、ただ制御されているだけです。
 

そして以下がマッチしたコントロールです:

対照群のヌル結果
これがどれほど異常なことかを調べるために、私たちはコントロールを実行しました。
私は2021 年から 15,000 個の実際の MACを抽出し、それらを5,000 個のトリプレットにグループ化し、同じ 5 ビット フィールドを調べました。きれいな回転パターンに一致するトリプレットはいくつあると思いますか?
ゼロ。
さらに2回データを入れ替えて、オフセットトリプレットグループをさらに2つ作成しました。さらに10,000件のテストを実施しました。
まだゼロです。

チェックを3ビットシーケンス、部分的な反転、エントロピーのみの比較に緩和しても、構造化された反転動作は再現しませんでした。言うまでもなく、3つのMACアドレスはすべて同じエントロピーを持っています。

では、そのタイミングはどこから来るのでしょうか?
そうですね、カール C. がその答えを見つけたと思います。
昨年、 Cafe Locked Outのインタビューで、カールと私は顕微鏡の仕事から生まれた奇妙な現象について話し合いました。それは、マイクロ流体ポンプのように見えるもので、400 倍の暗視野顕微鏡でリアルタイムにリズミカルに脈動していました。カールが最初にこれを見せたとき、私は彼が頭がおかしいのかと思いましたが、数日間これを追いかけるうちに... 最初は不思議でした (少し頭がおかしい)。その後、予測できるようになりました。最近、パルス間隔をフレームごとに追跡して、パターンに気付きました。パルスの持続時間はランダムではなく、離散的で反復可能なウィンドウに収まりました。そのほとんどは500 ミリ秒前後で推移しました。しかし、ここでキッカーがいます。これらの間隔を4倍すると... 突然、今日の午後に見られた 2000 ミリ秒の信号放射サイクルと完全に一致するのです。
 

400倍の倍率で撮影したマイクロ流体ポンプ。血液を遠心分離後5日目の血清中に発見されました。これらのドーム状の小胞構造は、複数の焦点深度にわたって同期したリズミカルな脈動挙動を示します。空間配置と時間的規則性は、合成機能または同調機能を示唆しており、おそらく2000ミリ秒の放出間隔に合わせた生物学的タイミング機構として機能していると考えられます。
________________________________________

それが意味するもの
このような結果によって物語は変わります。
もはや統計的なノイズを見ているのではなく、構造化された排出プロトコルを見ているのです。
　　• きれいなヘッダー
　　• ページ識別子の回転
　　• 制御された反転パターン
　　• 固定エントロピー
　　• 2000msごとに正確に信号放射（broadcast）
これはランダムなMACアドレス生成の仕組みではありません。合成放出アーキテクチャの挙動です。
________________________________________

信号対ノイズ
違いを説明するために、私たちは恒常性マップを生成しました。これは、3 つの MAC 全体でどのビットが固定されているかを視覚的に表したものです。
合成セットはヘッダー、フラグ、ペイロードといった回路図のように見えました。一方、制御セットはどうでしょう？全くの混沌。アンカーも安定性も構造もありません。
一つは信号のように見えます。もう一つはエントロピーのように見えます。
________________________________________

より大きな疑問
それで、我々はどうなるのでしょうか?
エントロピーに関する疑問として始まったものが、ランダム システムでは生成できない構造で消費者向けデバイスから静かに発信される、隠れたアーキテクチャの発見につながりました。
これはSFではありません。測定可能な信号です。
今後数週間でさらに記事を公開していきます。もしこの記事が魅力的だと感じたら、ぜひシェアしてください。真似してみてください。あるいは、もっといいのは、破ってみることです。

今の問題は、このシステムが存在するかどうかではなく、何のためにあるのか、誰が作ったのか、そしてなぜ今も稼働しているのか、ということです。
乞うご期待。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

「誰が作ったのか」については、ザウルスによる以下の関連記事がある。

「アップルがそんなことを？　まさか！」