IPoE IPv6を利用中で、かつ、ひかり電話の契約が無い場合はホームゲートウェイ(HGW)のIPv6パケットフィルタやIPv6ファイアウォールが機能しない。

たとえば最新第6世代のHGWであるxx-600MI/600KIの機能詳細ガイドには以下の記述がある。

ひかり電話の契約がない場合はIPv6パケットフィルタは有効にならないのだ。IPv6パケットフィルタが有効にならない場合、IPv6ファイアウォールも有効にできない。

ひかり電話を契約していない拙宅のRP-500KIの場合、「IPv6パケットフィルタ設定」という画面自体が存在しない。無効である。
画面自体は存在するが有効にできないという場合もあるらしいが。参考:「フレッツのIPv6パケットフィルタが筒抜けだった件（ひかり電話あり/なしで異なる結果に）https://akibabara.com/blog/5350.html 」

この状態のHGWをWi-Fiルーターとして使っている場合、配下のホストへの外部からのIPv6パケットはルーター(HGW)を素通りしてしまう。
WindowsやMacであればデフォルトでファイアウォールが有効なため、それでも特に問題となることはないが、ファイアウォールを持っていない機器などにはパケットが届いてしまう。
どうせローカルからしか繋がないからとファイアウォール無効のままのNASやRaspberryPiなどが転がっている場合は注意した方がいいだろう。

もちろんIPv6はアドレス空間が広大であるため、たとえフィルタがなかったとしても直撃を受ける可能性は「まぁ無視してもいいかな」と思えるレベルには低い。
一方でIPv6はNAT/NAPTを必要としないため利用者が適切なフィルタを設定しないと直接攻撃を受ける可能性はある。この問題は利用者が適切なフィルタを設定しようとしてもそれを実現する手段がHGW上に用意されていないことにある。攻撃を防ぐためにはひかり電話を契約するか、自前でファイアウォールを用意するかしかないのだ。

「IPv6ならネットから直接アクセスできる？　試して確かめようhttps://internet.watch.impress.co.jp/docs/column/shimizu/1163817.html 」ではHGWのIPv6ファイアウォールが機能しているようだが、たぶんひかり電話の契約があるのだろう。
どうにも気持ち悪いので私はWi-Fiルーターを買って二重ルーター構成にした。HGWは通過してもWi-FiルーターのIPv6ファイアウォールが機能すればOKという考えだ(結果上の記事と同じような構成になった)。無用なひかり電話を契約するよりは安く上がる。