日本ではSMSによるチェックなどはある程度信頼できるものと受け止められていますが、国際的な標準などでは、わりあい強めにSMSを認証等に用いること否定されています。たとえば、以下の記事が参考になります。
https://www.itmedia.co.jp/news/articles/1904/08/news026_2.html
サービス提供側への情報としては、米国立標準技術研究所(NIST)の認証に関するガイドライン「NIST Special Publication 800-63B」の策定において、SMS認証について議論され、表現が変更された経緯があります。
草稿の時点では「非推奨」とされていたSMS認証は、決定稿公開時には「条件付き」(なら使用しても良い)という表現になりました。その条件を簡単に書くと、「他の認証方式と併せて利用すること」「危険性について評価し、その結果を利用者に公表すること」「代替の方法を用意しておくこと」です。
SMSによる認証については、デジタル庁の以下の資料も参考になります。
令和5年度 本人確認ガイドラインの改定に向けた有識者会議 論点協議資料(第1回分)
この資料でもSMS認証は否定されています(P14)。
フィッシング、疲労攻撃、SIMスワップのいずれの耐性も有さない認証手法。原則として採用すべきではない。
これらに従うと、SMSを単独で認証に用いることは駄目じゃんとなるのですが、現実にはSMSを単独で認証に用いることは広く行われています。日本ではヤフーが代表例でしょう。以下の記事が参考になります。
https://www.lycorp-security.jp/ja/column/0011.html
Yahoo! JAPAN IDではサービスを安全に利用していただくために、パスワードを利用しない「パスワード無効設定」を推奨しています。
パスワード無効設定とは、パスワードによるログインを無効にして、代わりに携帯電話番号(SMS)に送られる確認コードを入力しログインする方法です。
ヤフー系のサービスの例として、PayPayカードはカードの券面にはカード番号等は記載されておらず、カード番号やセキュリティコードを調べるにはウェブサイトにログインする必要がありますが、これもSMS認証です。なので、SIMスワップなどでSMS認証が突破されると、PayPayカードの番号等が盗まれることになります。私はPayPayカードを使っていて、かつ昔は利用限度額が500万円だった(今はもう少し常識的な金額です)ので、結構ドキドキしながら使っていたことを思い出します。
では、ヤフーは、前記した国際的なセキュリティ動向に無知でSMS認証を採用しているのでしょうか。私思うに、きっとそうではなく、国際的な動向は承知しつつも敢えてSMS認証を推進しているのだと思います。
私がそう思う理由は、ヤフーのように利用者が極めて多く、利用層も広範であるサービスでは、どんなに安全な方法でも利用者が使えなければ意味がないからです。
パスワード認証に対する不正ログインは、パスワードリスト攻撃、パスワード推測、フィッシングなどにより非常に多数の実被害が毎年出ています。一方、SIMスワップは日本でも発生していますが、年間数件程度です。それを考えると、理論的な安全度は別として、実績ベースでは、「SMS認証はパスワード認証に比べてはるかに安全である」とみなすことも可能であると思うのです。
ただ、私自身は、一人のヤフーユーザとしてこれは不満でして、従来は使えた「パスワード認証+TOTPの二段階認証」を使いたいと思っているのですが、おそらくヤフーは、「大多数のユーザーにとってはSMS認証の方がはるかに安全」と判断しているのだと思います。
私は必ずしもヤフーの判断に全面的に賛同しているわけではありませんが、認証方式などセキュリティ施策の検討は、複合的に考えなければならず、ヤフーのSMS認証推進もそのような判断の結果なのだろうと思っています。