Esse é realmente um dos problemas com o CGN. Compartilhar um recurso significa que todos sofrerão as consequências quando alguém abusar do recurso.
Um banco que eu consultei para implementar o IPv6 no lado do servidor exatamente por esse motivo: mais e mais usuários acabam ficando atrás da CGN, esperançosamente também com o IPv6. Quando seu departamento de segurança tem que bloquear um endereço IPv4 de um CGN, os usuários com IPv6 ainda poderão acessar seus servidores.
Eles até apresentaram sua experiência com o IPv6: link