Azure AD の MFA(Multi-Factor Authentication)の応答方法として、標準では電話(音声)応答、SMS で受信したコード番号の入力、Microsoft Authenticator アプリでの応答の3つが提供されています。
認証方法と特徴 - Azure Active Directory - Microsoft Entra | Microsoft Docs
その中では Authenticator アプリの方がお勧めされています。
音声応答と SMS は、なぜ脆弱性があると言われるのか調べると、
音声応答については「SIM ジャッキング」があり得るためです。
これは、携帯電話の電話番号を攻撃者の SIMカードに移し替えてしまうもので、電話を乗っ取られた状態になり被害は甚大です。
携帯電話会社の従業員に金銭的なアプローチを持ち掛けたり、被害者本人に成りすまして変更させてしまうなどの手口があるらしく、有名人や明らかなターゲットを狙った攻撃ですが、すでに数年前から被害が報告されています。
SMS については、2016年頃に NIST からも警告が発せられていました。
SMS でセキュリティコードを受信した場合、携帯端末のロック画面に表示されたり、不審なアプリやネットワークにより SMS メッセージをインターセプトされる危険性があるためと言われています。
だからと言って、パスワードだけの認証にしてしまっては本末転倒なのでご注意を。
